根據(jù)CVE官方漏洞通報(bào)得知wordpress新出一個(gè)組合式rce漏洞，漏洞編號(hào)分別為CVE-2019-8943和CVE-2019-8942，下載漏洞版本源碼，分析漏洞觸發(fā)過(guò)程，注：漏洞復(fù)現(xiàn)時(shí)一定要斷網(wǎng)搭建，wordpress在聯(lián)網(wǎng)狀態(tài)時(shí)會(huì)自動(dòng)更新代碼包。找到漏洞發(fā)生文件post.php，wordpress有多個(gè)post.php文件，這里簡(jiǎn)要說(shuō)明一下各自的作用，wp-includes/post.php為post的源文件，wp-admin/includes/post.php為有后臺(tái)權(quán)限的post接口，wp-admin/post.php為后臺(tái)post的請(qǐng)求處理，具體調(diào)用代碼如下：

wp-admin/post.php：require_once( dirname( __FILE__ ) . '/admin.php' ); wp-admin/admin.php：require_once(ABSPATH . 'wp-admin/includes/admin.php'); wp-admin/includes/admin.php：require_once(ABSPATH . 'wp-admin/includes/post.php'); wp-admin/admin.php:：require_once(dirname(dirname(__FILE__)) . '/wp-load.php'); wp-load.php：require_once( dirname( ABSPATH ) . '/wp-config.php' ); wp-config.php：require_once(ABSPATH . 'wp-settings.php'); wp-settings.php：require( ABSPATH . WPINC . '/post.php' ); define( 'WPINC', 'wp-includes' );

根據(jù)以上調(diào)用流程，漏洞利用流程為上傳一個(gè)圖片到媒體庫(kù)，然后進(jìn)行更新操作，調(diào)用wp-admin/post.php函數(shù)，并根據(jù)switch到case:editpost，如下圖所示：

其中edit_post為漏洞函數(shù)，進(jìn)入函數(shù)聲明，如下圖所示：

$post_data為post數(shù)組，并未作任何過(guò)濾防護(hù)，對(duì)此產(chǎn)生了之后的漏洞，對(duì)比修復(fù)后的代碼，如下圖所示：

在此我多說(shuō)兩句，因一開(kāi)始并未發(fā)現(xiàn)wordpress在聯(lián)網(wǎng)時(shí)會(huì)進(jìn)行自動(dòng)更新，所以，我定位了另一個(gè)類(lèi)似漏洞點(diǎn)，如下圖所示：

以上代碼會(huì)根據(jù)傳入的meta數(shù)組進(jìn)行update_meta，根據(jù)代碼中的$key（數(shù)據(jù)庫(kù)中的meta_id），$value[‘key’]（數(shù)據(jù)庫(kù)中的meta_key）,$value[‘value’]（數(shù)據(jù)庫(kù)中的meta_value），構(gòu)造meta[1][key]=_wp_attached_file&meta[1][value]=123，最終執(zhí)行類(lèi)似以下數(shù)據(jù)庫(kù)語(yǔ)句UPDATE `wp_postmeta` SET `meta_key` = '_wp_attached_file', `meta_value` = '123' WHERE `meta_id` = 2，實(shí)現(xiàn)過(guò)程，如下圖所示：