Facile processus WP SMTP (de V1.3.9) 0 vuln�rabilit� jour attaqu� et reproductibilit�

avant-propos

Votre propre site d'h�bergement de blog avec wordpres le dernier mois a trouv� quelques anomalies.

3.12 jours, l'�clatement de la bo�te aux lettres, plus de 100 lettres re�ues message de notification sur le site de l'explosion.

Ce jour-l� �galement vu pas l'impression �trange, car avant qu'il y ait eu une telle situation, il y aura des dizaines de pr�avis de dynamitage tous les jours, les laisser aller au Japon (Department Station Bouddha ouvert) ......

Mais ce message quelques jours ton continu m'a dit que cette question est pas si simple.

Le 15, un avis de dynamitage deux fois plus �lev� que les deux jours pr�c�dents, je vais vous connecter sur le site pour voir la situation et n'a pas trouv� quelque chose d'inhabituel, mais le montant de celui-ci, IP dynamitage ont �t� bloqu�s. est sacr�ment que le temps n'a pas d�sempli, courir ici, courir l�-bas, qui ont encore le temps de prendre soin de vous cette explosion.

16 Nombre de dynamitage vers le bas baisse, je ne les soins encore plus, jusqu'� ce que n � 19, e-mail sugg�rant un nouveau membre de l'enregistrement de mon domaine? ? ?

fonction d'enregistrement du site Web peut fermer enregistr�? Ceci est le jour o� ils ont �t� trouv�s; traces de dynamitage que les utilisateurs enregistr�s ont arr�t� avec succ�s vers le bas.

Quant au plus tard les explosifs, les estimations ne sont pas le m�me groupe de personnes, apr�s un site d'enregistrement de compte r�ussi a �galement re�u un grand nombre de verrouillage avis.

D'apr�s le dynamitage analyse du temps, sont 23-7 cette fois, quelques jours en chien fatigu�, je matin encore t�t et vous venez de faire?

Jusqu'� ce que vous voyez ce message, je ***** ......

Site Web non mon site.

Visiter le site web d�couverte de fond ont bloqu� IP tous �t� effac�e:

Derni�re attaquant actif. Pensez � ce merveilleux ah truc, le dynamitage qui, connectez-vous directement avec ses propres comptes.

Je regarde le calendrier, il est estim� �tre occup� jusqu'au d�but Avril. .

Je refermai rapidement le site, le site a recul�, pour une analyse post hoc.

analyse

L'analyse commence, devant un tas de b�tises ......

Le site a �t� fait un peu de changement: la fonction d'enregistrement est activ�e.

La d�couverte de nouveaux utilisateurs enregistr�s:

Adresse du domicile est modifi�e:

Home est inject� script de script pour sauter vers un site Web malveillant, dans ses diff�rents scripts script pages aussi trouv�-sujet plug saut implant�.

Est-NinTechNet derni�re communication WordPress WP plug-ins SMTP apparaissent 0 vuln�rabilit�s jour (actuelles en version V1.3.9) jugement, l'attaquant est d'utiliser les vuln�rabilit�s 0 jour sont modifi�s en fonction du contenu du site et 315 jours .;

3.17 jours, la version officielle mise � jour v1.3.9.1, n'a pas �t� mise � jour du webmaster mise � jour s'il vous pla�t!

Analyse de la vuln�rabilit�: bloc de code Probl�mes

�admin_init fonction () { if (defined ( 'DOING_AJAX') && DOING_AJAX) { add_action ( 'wp_ajax_swpsmtp_clear_log', array ($ ce, 'clear_log')); add_action ( 'wp_ajax_swpsmtp_self_destruct', array ($ this, 'self_destruct_handler')); } // Afficher le journal if (isset ($ _GET <'swpsmtp_action'>)) { if ($ _GET <'swpsmtp_action'> === 'view_log') { $ Nom_fichier_journal = $ this- > opts <'smtp_settings'> <'nom_fichier_journal'>; if (! (file_exists plugin_dir_path (__FILE__). $ nom_fichier_journal)) { if ($ this- > log ( "d�bogage facile WP SMTP fichier journal \ r \ n \ r \ n") === false) { wp_die ( 'Can \' t �crire dans le fichier journal V�rifiez si le r�pertoire du plugin ( 'plugin_dir_path (__FILE__) ..') est inscriptible � ..); }; } $ Logfile = fopen (plugin_dir_path (__FILE__) nom_fichier_journal de $, 'rb'.); if (! $ logfile) { wp_die ( 'Can \' t fichier journal ouvert.); } header ( 'Content-Type: text / plain'); fpassthru ($ logfile); die; } } // v�rifier si cela est param�tres d'exportation demande $ Is_export_settings = filter_input (INPUT_POST, 'swpsmtp_export_settings', FILTER_SANITIZE_NUMBER_INT); si (is_export_settings de $) { $ Data = array (); $ Opts = get_option ( 'swpsmtp_options', array ()); $ Donn�es <'swpsmtp_options'> = $ opts; $ Swpsmtp_pass_encrypted = get_option ( 'swpsmtp_pass_encrypted', false); $ Donn�es <'swpsmtp_pass_encrypted'> = $ swpsmtp_pass_encrypted; if ($ swpsmtp_pass_encrypted) { $ Swpsmtp_enc_key = get_option ( 'swpsmtp_enc_key', false); $ Donn�es <'swpsmtp_enc_key'> = $ swpsmtp_enc_key; } $ Smtp_test_mail = get_option ( 'smtp_test_mail', array ()); $ Donn�es <'smtp_test_mail'> = $ smtp_test_mail; $ Out = array (); $ Out <'data'> = serialize ($ data); $ Out <'ver'> = 1; $ Out <'somme'> = md5 ($ sur <> 'donn�es'); $ Nom du fichier = 'easy_wp_smtp_settings.txt'; header ( 'Content-Disposition: pi�ce jointe; filename = "' $ filename .. '"'); header ( 'Content-Type: text / plain'); echo serialize ($ out); sortie; } $ Is_import_settings = filter_input (INPUT_POST, 'swpsmtp_import_settings', FILTER_SANITIZE_NUMBER_INT); si (is_import_settings de $) { $ ERR_MSG = __ ( 'Une erreur est survenue lors de l'importation des param�tres', 'facile wp-smtp'); si (vide ($ _FILES <'swpsmtp_import_settings_file'>)) { echo $ err_msg; wp_die (); } $ In_raw = file_get_contents ($ _FILES <'swpsmtp_import_settings_file'> <'tmp_name'>); try { $ En = unserialize ($ in_raw); si (vide ($ dans <'data'>)) { echo $ err_msg; wp_die (); } si (vide ($ en <'somme'>)) { echo $ err_msg; wp_die (); } si (md5 ($ dans <'data'>)! == $ en <'somme'>) { echo $ err_msg; wp_die (); } $ Data = unserialize ($ dans <'donn�es'>); foreach ($ data comme $ key = > �$ Valeur) { update_option ($ key, $ value); } set_transient ( 'easy_wp_smtp_settings_import_success', true, 60 * 60); $ Url = admin_url () 'Options-general.php page = swpsmtp_settings? .; wp_safe_redirect ($ url); sortie; } Catch (Exception $ ex) { echo $ err_msg; wp_die (); } } }

Admin_init de la fonction ci-dessus facile wp-smtp.php de script () lorsqu'un utilisateur acc�dant � la zone de gestion par le crochet en cours d'ex�cution admin_int. Il est utilis� pour afficher / supprimer le journal, la configuration import / export et mettre � jour l'option de base de donn�es Wordpress, il ne v�rifie pas la fonctionnalit� de l'utilisateur, de sorte que tout utilisateur peut se connecter � d�clencher. Mais il peut �galement �tre effectu�e par les utilisateurs non authentifi�s, car facile WP SMTP en utilisant AJAX et admin_inj hook ex�cuter sur admin-ajax.php.

Ainsi, l'utilisateur non authentifi� peut envoyer ajax demande, par exemple action = swpsmtp_clear_log, pour d�clencher les fonctions d�crites ci-dessus et ex�cute son code.

La tra�abilit�

A l'origine destin� � �tre tra�able � l'attaquant, mais le serveur est h�berg� dans le nuage IP Ali, pour l'exportation ne sont pas IP ind�pendante, le dynamitage de la capture d'�cran ci-dessus tous les IP ne sont pas les attaquants, la douleur est encore plus d'oeufs pour nettoyer les journaux du site sont nus (pas de temps Connexion traitement de fond), m'a laiss� que deux sauts sur le nom de domaine.

Par l'intelligence sont � la fois la menace d'�clatement IP IP. Maintenant, utilisez un navigateur pour acc�der au nom de domaine de site Web d'informations de p�che rapide (non-sens, combien de jours est un wordpress).

Dans les commentaires bte ce widget aussi beaucoup de condamner, on peut imaginer � ce moment combien de sites attaquaient.

reproduction

A c�t� de reproduire la vuln�rabilit�.

Confirmer facile WP SMTP Version:

Confirmer la fonction d'enregistrement de domaine est d�sactiv�:

Selon POC donn� en ligne, cr�ez un fichier, il va �crire le contenu du fichier:

Ce fichier est une demande normale retournera un 0:

T�l�chargez le fichier:

Visitez le site Web �cran de connexion, la fonction d'enregistrement a �t� activ�e. Essayer d'enregistrer un compte, v�rifier si l'utilisateur est enregistr� en tant qu'administrateur, processus d'inscription et nouveau processus d'inscription de l'utilisateur pour obtenir un message par la poste.

La v�rification est r�ussie.

Voir devipentesting99 les utilisateurs? Ceci est l'attaquant d'utilisateur cr��.

Jusqu'� pr�sent, la reproduction se termine.

� Vous avez un webmaster, � et ce ne dites pas (laisser la biblioth�que supprim�).

Un petit conseil:

R�parer le fichier est modifi�, supprim� webshell (trouv� � t�l�charger plus webshell);

Plugin mise � jour � la derni�re version, la version du point d'�quilibre est �galement disponible;

probl�mes de site Web doivent �tre dans le temps pour r�soudre les probl�mes, l'importance de l'intervention d'urgence;

Mettre l'accent sur les derni�res vuln�rabilit�s pour mettre � jour le lancement officiel de la version mise � jour;

Des sauvegardes r�guli�res des journaux Web, le journal ne peut pas �tre � l'avenir;

Peut se permettre d'utiliser un pare-feu d'applications Web.

* L'auteur: timneh, tir� � part FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

Facile processus WP SMTP (de V1.3.9) 0 vuln�rabilit� jour attaqu� et reproductibilit�