当前位置：首页 > news >正文

CVE-2022-21663: WordPress ＜5.8.3 版本对象注入漏洞深入分析

news 文章来源：https://blog.csdn.net/swordcloud_xm/article/details/140744436 2025/1/15 6:58:29

引言

在网络安全领域，技术的研究与讨论是不断进步的动力。本文针对WordPress的一个对象注入漏洞进行分析，旨在分享技术细节并提醒安全的重要性。特别强调：本文内容仅限技术研究，严禁用于非法目的。

漏洞背景

继WordPress CVE-2022-21661注入漏洞之后，安全研究人员又发现了一个严重的对象注入漏洞，该漏洞允许具有管理员权限的用户通过修改特定的选项来获取服务器的shell访问权限。

影响范围

以下是受该漏洞影响的WordPress实例条件：

WordPress版本低于5.8.3。
启用了多站点模式。
存在一条可用的反序列化链（本文不展开讨论）。

GitHub上的漏洞修复记录可以在此链接查看：
GitHub漏洞修复记录

环境搭建

为了复现此漏洞，首先需要搭建一个符合条件的WordPress环境。可以通过以下命令获取漏洞修复前的WordPress源码：

git clone https://github.com/WordPress/WordPress
git checkout 7d20ea9

漏洞分析

漏洞入口点

首先来到 wp-admin/upgrade.php，这是管理员可以直接访问到的文件，也是我认为的此漏洞的入口点。

跟进 wp_upgrade函数，来到 wp-admin/includes/upgrade.php

首先看几个全局变量，$wp_db_version在 wp-includes/version.php中定义，根据其定义处的注释来看，这是本安装程序的数据库版本，在下一行中从数据库中取出了 db_version赋值给 $wp_current_db_version，看这情况，大概是一个是固定的数据库版本，另一个是可变的，upgrade.php会时不时地比较，当发生改变时，会进行一些操作

接下来看到我下的断点处，进入 upgrade_all()函数

这里就是在将两个版本进行比较，一致时不发生任何变化，不一致时运行后面的代码，接着看下面

根据从数据库中取出的 db_version也就是此处的 $wp_current_db_version的大小，会进行不同的处理，我们来关注断点处的 upgrade_280函数

看到 1611 行的 is_multisite()，跟进

这是一个判断是否开启了多站点的函数，这也是本漏洞的一个开启条件，必须要开启多站点才可以。开多站点需要改配置文件，我这里图省事儿，直接改了判断条件 !is_multisite()，强行让他绕过了

继续看上面，进入循环，每次从 wp_options表中取 20 条数据，将每一条数据都进行反序列化，漏洞的点就在此处了，因为 wp_options中的数据大部分都是可控的，我们可以通过管理员修改其值，最后进入反序列化。

还有两个问题，第一，如何控制 db_version的值，让他进入我们想要进入的函数；第二，如何更改 wp_options中的值。

数据写入

其实这两个是同一个问题，一并解决，wordpress后台没有直接访问所有 options的按钮，但我们可以访问 wp-admin/options.php

这里可以更改 db_options中大部分的值，包括 db_version，我们将其修改为 10300，就满足了进入漏洞函数的要求，接下来我们尝试写入反序列化字符串

我们先随便选择一个选项写入反序列化字符串，这里我首先选择的是 blogdescription，也就是博客描述，这个也可以在常规选项中更改（更建议，因为需要处理的值会更少，调试没那么费力）,post的数据会逐个进入 wp-includes/option.php中的 update_option，来看几个比较重要的函数（PS：太长截图截不完）