Wordpress 0 day漏洞的逆向工程分析 - APT防御产品

Wordpress 0 day漏洞的逆向工程分析

在刚刚过去的那个周末,我从我的mod_security日志中发现了一个有趣的警告提示,日志记录下了一个提交至我Wordpress网站的一个网络请求。尽管这个请求并没有成功,但我决定对其进行深入地研究,并试图搞清楚这条请求信息到底是什么,它想要做什么。。。

此文请求代码很长,有需要的可取原文查看。

https://crowdshield.com/blog.php?name=reverse-engineering-a-critical-wordpress-0day-exploit 

原始的mod_security请求:

请求头很长,有需要可去原文查看。

<code>code区域</code>

数据来源于Pastebin.com,点击这里下载原始数据,点击这里查看原始数据。

原始的post请求:

<code>code区域</code>

数据来源于Pastebin.com,点击这里下载原始数据,点击这里查看原始数据。

Base64 解码Json请求:

<code>code区域</code>

数据来源于Pastebin.com,点击这里下载原始数据,点击这里查看原始数据。

Json参数:43947 base64解码字符串:

<code>code区域</code>

数据来源于Pastebin.com,点击这里下载原始数据,点击这里查看原始数据。

被注入的$_shell代码:

<code>code区域</code>

在shell 中解码preg_replace函数:

<code>code区域</code>

分析php函数preg_replace()的结果:

数据来源于Pastebin.com,点击这里下载原始数据,点击这里查看原始数据。

WSO 2.5 网页后门程序的截图:

http://p0.qhimg.com/t01baf8358704624589.png

结论:

这是一个针对Wordpress 0day漏洞的尝试攻击,或者是一个与Wordpress插件有关的问题。这种插件可以将经过编码的WSO 2.5 后门程序shell脚本注入至受漏洞影响的Wordpress网站,以此来获取网站的完整控制权。这到底是Wordpress的问题还是其他插件的问题呢?在我进一步的研究过程中,我在iThemes安全插件中发现POST请求的参数存在一些问题,但目前具体情况还没有得到确认。如果您有更多关于这篇文章主题的细节信息,请与我进行联系,同时也欢迎您发表自己的见解。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://crowdshield.com/blog.php?name=reverse-engineering-a-critical-wordpress-0day-exploit


转载请注明出处 APT防御产品 » Wordpress 0 day漏洞的逆向工程分析

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址