Hi,are you ready?

            準備好開始了嗎?
            那就與我們取得聯系吧

            有一個品牌項目想和我們談談嗎?您可以填寫右邊的表格,讓我們了解您的項目需求,這是一個良好的開始,我們將會盡快與你取得聯系。當然也歡迎您給我們寫信或是打電話,讓我們聽到你的聲音!

            ZDD.TECHNOLOGY 站多多

            地 址:武漢市武昌區中南國際城D座

            電 話:027-87317566

            傳 真:027-87317566

            E-mail:zk@zhandodo.com

            填寫您的項目信息

            關閉

            【珠海網站優化】網站漏洞修復對WordPress 致命漏洞注入shell

            2019-02-25  |  當前位置:首頁 > 首頁資訊中心 > 首頁公司動態

            2019年正月剛開始,WordPress最新版本存在遠程代碼注入獲取SHELL漏洞,該網站漏洞影響的版本是wordpress5.0.0,漏洞的產生是因為image模塊導致的,因為代碼里可以進行獲取目錄權限,以及文件包含功能,導致遠程代碼注入成功。

            通過外界公布的漏洞細節詳情,我們通過安全分析發現,漏洞主要是在wordpress上傳圖片這里,看了下代碼post meta參數值并沒有過濾,導致可以修改WP博客的數據庫標段,在文件包含嵌入本地文件地址的時候可以跨目錄的修改參數,導致保存的圖片可以任意保存到網站的任何目錄下。

            wordpress網站漏洞的利用

            我們先來搭建一下系統所需的環境,linux centos服務器,php5.3,mysql數據庫本部為5.6,安裝的wordpress 5.0.0系統,數據都為默認的,然后我們打開網站,點擊wordpress的媒體庫裁剪我們的圖片這里,我們上傳圖片到網站里,默認圖片是保存在網站根目錄下的wp-content文件下的upload文件夾,上傳成功的圖片會直接保存到wp_postmeta這個表里,表的信息是圖片的路徑以及圖片詳細信息。如下圖:

            我們修改上傳圖片的屬性可以進行post篡改,代碼里并沒有對post的傳輸方式進行嚴格的安全過濾,我們構造數據包修改路徑值,我們來安全測試一下。。/便利目錄漏洞,首先獲取wp_admin/post.php的參數,然后對其修改,修改wp_attached_file參數為jpg../../safe.jpg,然后提交post,就會直接寫入到數據庫里。

            【珠海網站優化】網站漏洞修復對WordPress 致命漏洞注入shell

            我們打開剛才修改的圖片屬性,我們就會發現圖片被執行了,由此我們可以判斷出,這個功能簡單來說就是本地讀取圖片的路徑以及可以任意目錄地址圖片進行讀取,遠程讀取的圖片會過濾到問號,以及jpg后面的參數,導致將裁剪后的圖片直接存放到wordpress主題文件夾里,我們就可以遠程代碼注入獲取shell權限。

            wordpress漏洞總結

            該網站漏洞的發生,僅僅存在于wordpress5.0.0版本,其他版本不受該漏洞的影響,主要發生原因是裁剪圖片功能存在注入,導致可以遠程讀取圖片,可以將惡意的代碼圖片文件寫入到網站的根目錄下,最后利用文件包含的漏洞來生成SHELL獲取網站的最高權限。

            關于wordpress網站漏洞的修復建議,網站的運營者盡快升級wordpress版本到最新版本,不要再使用5.0.0版本,對網站的補丁及時的登錄后臺進行更新,如果網站已遭受到攻擊,建議立即對網站進行木馬文件的檢測與清除,做好網站安全加固,也可以找專業的網站安全公司來解決問題

            如未特殊注明,文章均來源于網絡! 轉載請注明來自:http://www.5cclub.com

            上一篇資訊
            返回列表
            下一篇資訊

            與我們合作

            與站多多合作,您將會得到更成熟的品牌建設服務。我們以客戶至上,同時也相互挑戰,力求呈現最好的品牌建設成果。

            品牌咨詢熱線:

            400 8084 027

            TOP

            返回頂部
            武漢網站建設QQ

            4352294

            武漢網站建設QQ

            4352294

            關注站多多官方微信

            經濟型
            網站

            杭州網絡公司微信號
            国产精品v欧美精品v日韩精品欧美日韩欧美日韩在线视频亚洲欧美日韩精品久久国产亚洲欧美日韩在线一区欧美日韩免费观看在线影片亚洲欧美日韩在线一区日韩欧美亚洲综合久久国产日韩欧美亚欧在线欧美日韩亚洲国产精品欧美日韩亚洲在线国产亚洲欧美日韩一区国产日韩欧美无限制视频欧美日韩亚洲第一区在线米奇777超碰欧美日韩亚洲日韩av欧美av国产av综合天堂国产亚洲日韩网曝欧美台湾黑人欧美日韩专区在线亚洲色国产欧美日韩亚洲欧美日韩中文久久,国产精品v日韩精品v欧美精品日韩欧美亚洲欧美中文日韩在线v日本亚洲欧美日韩一区二区日韩欧美一中文字暮专区亚洲欧美中文日韩v在线观看亚洲欧美偷国产日韩亚洲欧美日韩精品专区国产一区日韩二区欧美三区欧美日韩视频二区在线亚州欧美中文日韩在线视频日韩欧美中文字幕直播视频欧美日韩一本线在线高清亚洲欧美日韩香蕉在线天堂av亚洲欧美日韩国产综合国产亚洲日韩网曝欧美精品久久国产欧美日韩精品国产综合人妻在线欧美日韩亚洲欧美日韩精品自拍亚洲欧美av中文日韩二区,欧美精品v国产精品v日韩精品欧美日韩免费一区二区三区播放亚洲欧美日韩中文无线码亚洲一日韩欧美中文字幕在线欧美日韩国产在线人成欧美日韩视频高清一区亚洲欧美中文日韩视频国产日韩欧美不卡在线二区亚洲欧美日韩综合影院日韩欧美~中文字幕综合亚洲欧美日韩成人在线国产欧美日韩在线在线播放国产日韩欧美手机在线播放日韩欧美巨乳国产欧美日韩中文国产一区亚洲日韩精品欧美一区二区亚洲日本欧美日韩高观看欧美日韩888在线观看亚洲欧美日韩综合av欧美日韩av不卡在线观看,国产精品v欧美精品v日韩精品中文字幕日韩欧美一区二区三区国产欧美日韩中文久久欧美日韩视费观看视频亚洲欧美中文日韩v在线日韩欧美亚洲每日更新在线亚洲中文欧美日韩在线不卡亚洲欧美中文日韩在线视频2217亚洲欧美国产日韩欧美日韩精品一区二区在线国产日韩欧美高清免费视频日韩欧美中文字幕日韩欧美毛片免费观看日韩欧美一中文字暮欧美日韩av日韩欧美tⅴ一中文字暮亚洲欧美中文日韩aⅴ国产在线欧美日韩精品一区亚洲精品欧美精品日韩精品最新亚洲av日韩av欧美av,国产精品v日韩精品v欧美精品中文亚洲欧美日韩无线码国产日韩精品欧美一区喷水久久精品国产欧美日韩日韩欧美国产精品亚洲二区亚洲日韩欧美综合欧美v亚洲v日韩v最新在线日韩欧美中文字幕在线亚洲欧美日韩一区欧美日韩亚洲国产一区二区欧美日韩国产在线一区二区欧美日韩亚洲中字二区日韩欧美中文字幕在线二视频日韩亚洲欧美在线视频网站亚洲日韩精品欧美一区二区一亚洲日韩欧美国产春色欧美日韩av无码欧美日本日韩aⅴ在线视频欧美日韩视频在线第一区av啪啪欧美啪啪日韩啪啪