AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

WordPress REST API 内容注入误差剖析

2017-02-10

宣布者：AG公司科技

WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress看成一个内容治理系统来使用。

WordPress 在4.7.0版本之后将REST API插件集成到默认功效之中。REST
API为WordPress的使用者提供了一个利便快捷的治理接口。在WordPress
4.7.0-4.7.1版本中保存着一个越权误差，乐成的使用这个误差，可以绕过治理员权限对文章举行增删改查操作。

影响版本

WordPress 4.7.0-4.7.1

误差剖析

在正式的误差剖析最先前，先来简朴先容下REST API的使用。官网给出的先容如下

AG公司(中国集团)·有限公司官网

详细使用详情请参照REST API Handbook

https://developer.wordpress.org/rest-api/

在使用api对文章举行操作之前，需要对操作举行授权，授权方法有三种：cookie、oauth和简朴认证。若是不举行授权直接通过api对文章举行修改操作，会返回一个401，如下图所示

AG公司(中国集团)·有限公司官网

若是想乐成使用误差，必需绕过权限治理。我们跟踪下后台update处权限治理代码

public function update_item_permissions_check( $request ) {

   $post = get_post( $request['id'] );
   $post_type = get_post_type_object( $this->post_type );

   if ( $post && ! $this->check_update_permission( $post ) ) {
      return new WP_Error( 'rest_cannot_edit' __( 'Sorry you are not allowed to edit this post.' ) array( 'status' => rest_authorization_required_code() ) );
   }

   if ( ! empty( $request['author'] ) && get_current_user_id() !== $request['author'] && ! current_user_can( $post_type->cap->edit_others_posts ) ) {
      return new WP_Error( 'rest_cannot_edit_others' __( 'Sorry you are not allowed to update posts as this user.' ) array( 'status' => rest_authorization_required_code() ) );
   }

   if ( ! empty( $request['sticky'] ) && ! current_user_can( $post_type->cap->edit_others_posts ) ) {
      return new WP_Error( 'rest_cannot_assign_sticky' __( 'Sorry you are not allowed to make posts sticky.' ) array( 'status' => rest_authorization_required_code() ) );
   }

   if ( ! $this->check_assign_terms_permission( $request ) ) {
      return new WP_Error( 'rest_cannot_assign_term' __( 'Sorry you are not allowed to assign the provided terms.' ) array( 'status' => rest_authorization_required_code() ) );
   }

   return true;
}

AG公司(中国集团)·有限公司官网

如上图所示，在这里if语句中，前半部分$post为真，后半部分check_update_permission()函数对$post的权限举行判断，效果为假，导致返回Sorry
you are not allowed to edit this post信息。

这个误差的挑战就在于，怎样乐成的绕过update_item_permissions_check()�？�，使其最终return true。

我们转头看update_item_permissions_check()函数，

AG公司(中国集团)·有限公司官网

注重到$post = get_post( $request[‘id’] );这一行，这一行的作用是判断提交的文章id是否保存。

function get_post( $post = null $output = OBJECT $filter = 'raw' ) {
   if ( empty( $post ) && isset( $GLOBALS['post'] ) )
      $post = $GLOBALS['post'];

   if ( $post instanceof WP_Post ) {
      $_post = $post;
   } elseif ( is_object( $post ) ) {
      if ( empty( $post->filter ) ) {
         $_post = sanitize_post( $post 'raw' );
         $_post = new WP_Post( $_post );
      } elseif ( 'raw' == $post->filter ) {
         $_post = new WP_Post( $post );
      } else {
         $_post = WP_Post::get_instance( $post->ID );
      }
   } else {
      $_post = WP_Post::get_instance( $post );
   }

   if ( ! $_post )
      return null;

   $_post = $_post->filter( $filter );

   if ( $output == ARRAY_A )
      return $_post->to_array();
   elseif ( $output == ARRAY_N )
      return array_values( $_post->to_array() );

   return $_post;
}

可见，若是id对应的文章不保存，则返回null。

若是我们输入的url是这种形式

http://192.168.3.112/wordpress/index.php/wp-json/wp/v2/posts/1/?id=1grq

get_post()函数返回值一定为null，这样会使得$post值为null，转头来看update_item_permissions_check()函数，这时update_item_permissions_check()函数的返回值竟然为true了！

既然update_item_permissions_check()函数的返回值为true，说明我们绕过了update_item_permissions_check()权限验证，可是id为‘1grq’，基础不保存这样数字加字母组合的文章id，那怎么才华对指定文章举行越权操作呢？

有趣的事情爆发了，让我们来看update_item()函数，这个函数是用来update通过权限验证的数据，我们看看它是怎么界说的

AG公司(中国集团)·有限公司官网

注重第二行，这里将$request[‘id’]举行了int类型的数值转换，在php中，$request[‘id’]
=”1grq”会被转换为数值类型1，如下图演示

AG公司(中国集团)·有限公司官网

以是这里的$id又由‘1grq’变回1了，get_post()函数也会找到对应id为1的文章了。

误差使用

现在已经有研究员在GitHub上给出响应的poc，链接如下

https://gist.github.com/leonjza/2244eb15510a0687ed93160c623762ab

官方修补计划剖析

AG公司(中国集团)·有限公司官网

在4.7.2版本中，若是get_post()判断$post效果为 false，则直接返回$post，阻止$post进入下层if判断绕过权限检查。

修补防御

升级wordpress至最新版本（4.7.2）。

<<上一篇

Hadoop遭遇勒索攻击

>>下一篇

预警通告:Struts2 远程代码执行误差（S2-045）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号