0day уязвимость в темах WordPress

0day уязвимость в темах WordPress​

Утилита для ресайза изображений timthumb.php, поставляемая со многими темами WordPress, уязвима к загрузке произвольного PHP-кода. Поиск Google говорит о наличии 39 миллионов таких скриптов в Сети.

Утилита недостаточно проверяет передаваемые параметры, в результате чего у злоумышленников появляется возможность загрузить произвольный скрипт в директорию на сервере.

В конфигурационном файле для скрипта определены домены, с которых ему разрешено получать изображения:

PHP:

$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
'upload.wikimedia.org',
'photobucket.com',
);

Однако ошибка в коде проверки допускает загрузку с произвольных сайтов, лишь содержащих такие поддомены четвертого или больше уровней. Например:
http://blogger.com.somebadhackersite.com/badscript.php

02.08.2011
http://www.xakep.ru/post/56374/

UPD:
Дорк:

 

Ух, нужно пойти поглядеть свои вп сайты, вроде бы были темы от 0day, если я ничего не путаю.

 

Несомненно хорошая новость. Еще бы источник, кто первым это дело нашел и опубликовал.

 

Дак вот же пример:
http://blogger.com.somebadhackersite.com/badscript.php

Сейчас днс обновиться и буду пробовать ))) В гугле уже море поюзаных сайтов через эту уязвимость, хотя ей еще дня нету.

Не знаю правда, откуда там 40 миллионов сайтов, я нашел только 900 тысяч, но и того хватит на всех

 

Ну думается что это должен быть твой шелл. В общем пока не попробую, на перед говорить не стоит.

Погугли на тему timthumb.php, посмотри сайты на которых он есть. Скрипту передается параметром путь до картинки. Если передать ему урл на свой шелл, по идее он должен схавать его.

 

Обновил первый пост, посмотри на сайты. Например:
http://noticiasaustral.com/wp-content/themes/Yen/timthumb.php?src=http:

http://www.latte42.com/timthumb.php?src=http://www.latte42.com/user/76/2b8bf658e32fb3172764f898d09ae1a2713d67ce.jpg&w=400&h=300&sr=1&zc=1&q=75
и тд...

 

херовый у тебя дорк.

А где посмотреть уязвимую версию файла?

 

Предложи лучше, заменим.

Хз, все что было на хакере я скопипастил сюда. Наверно уязвимы все версии, если предлагают заменить на новый файл.

Рандомно посчелкал по ссылкам, попались версии 1.14 до 1.34, думаю что подвержены все.

 

Ну хотя бы так

http://yandex.com/yandsearch?text=%22%2Ftimthumb.php%3Fsrc%3D%22&lr=213

намного меньше мусора.

В гугле тоже можно искать, но применив фильтры кое-какие.

Да я просто соурсы посмотреть хочу ради интереса. На code.google.com уже заменили, а старых версий у них нет уже.

Придется с сайтов снимать, наверное

 

Извиняюсь, а чем
http://yandex.com/yandsearch?text=%22%2Ftimthumb.php%3Fsrc%3D%22&lr=213
отличается от приведенного мной дорка? Тем что яндекс?

 

Нашел откуда походу все это началось, запостили 1 августа:

 

Да нет, просто у меня выдача вот так выглядит

http://s011.radikal.ru/i318/1108/a6/511326ff9c1b.jpg

Как видно, это пустышки, типа такого

http://www.wallpaperscars.info/search/timthumb-php-src-http-farm6/

Дорвеи какие-то.

 

Каким образом можно сделать такой домен?

 

Есть, только каким образом?
например у мни есть lockdog.org.ua
Делаю субдомен lulz.lockdog.org.ua а ещё один сверху как сделать?

 

cpanel. Только где там вписывать субдоммен к уже существующему?

 

все понятно, а как залить картинку в пост?

 

Есть такое дело, насколько я помню там чтения локальныф файлов с перезаписю. На unix сплоит не работает, нужно /temp в шаблоне.
На windows работает 100%, сам проверял.

Уязвимы темы TheCorporation, MyProduct, minimal больше я не смотрел.

Темы вот етих разработчиков
ele*gantth*emes.c*om/ga*llery
* - убрать


уязвимость будет експлуатируема только если создаст какой то компонент диру /temp, ну тогда мы имеем шелл)

как пофиксить, ну наверно сhmod поменять

Топик на vulnescom где то есть c експлоитом.