新的PHP代码执行攻击使WordPress网站面临风险

这项新技术使数十万web应用程序面临远程代码执行攻击，其中包括由WordPress和Typo3等流行内容管理系统支持的网站。

PHP非序列化或对象注入漏洞最初记录于2009年，攻击者可以通过向unserializePHP函数提供恶意输入来执行不同类型的攻击。
如果您不知道，序列化是将数据对象转换为普通字符串的过程，并且取消序列化函数帮助程序从字符串重新创建对象。

Thomas发现，攻击者可以使用针对Phar归档的低风险函数来触发反序列化攻击，而无需在多种情况下使用unserialize函数。

Phar files是PHP中的一种存档格式，它以序列化格式存储元数据，每当文件操作函数（fopen、file_存在、file get 内容等）试图访问存档文件时，元数据就会被取消序列化。

托马斯说：“直接文件操作（如“文件_存在”）和间接操作（如在XML内部的外部实体处理过程中发生的操作（即当XXE漏洞被利用时）都是如此”。

利用PHP反序列化攻击WordPress网站

在上周Black Hat大会上发布的一篇详细论文中，Thomas演示了如何使用作者帐户对Wordpress网站执行此攻击，以完全控制web服务器。

为了成功利用该漏洞，攻击者只需将包含恶意有效负载对象的有效Phar存档上传到目标的本地文件系统，并让文件操作函数使用“Phar://”流包装器访问该文件。
Thomas还透露，攻击者甚至可以使用JPEG图像利用此漏洞，该图像最初是通过修改前100个字节转换为有效JPEG的Phar归档文件。

研究人员说：“应用程序[WordPress]中的某些缩略图功能的工作方式使攻击者有权上传和修改媒体项目，以充分控制“file_exists”调用中使用的参数，从而导致发生非序列化”。

一旦特制的缩略图上传到目标WordPress服务器上，攻击者就可以使用另一个函数，使用“Phar://”流包装器调用与Phar存档相同的图像文件，最终在程序反序列化元数据时执行任意代码。

“该漏洞的存在是因为对作为图像文件传递的数据进行了不安全的反序列化，然后通过“/wpcludes/post.php”脚本中的'wp_get_attachment_thumb_file'函数中的'phar://'流包装器执行，”一条建议写道。

“能够创建/编辑帖子的远程经过身份验证的攻击者可以上传恶意图像，并在易受攻击的系统上执行任意PHP代码”。

托马斯在去年早些时候向WordPress安全团队报告了这个漏洞，该公司也承认了这个问题。然而，该公司发布的补丁并没有完全解决这个问题。

Thomas还在2018年6月9日报告了Typo3的漏洞，供应商在版本7.6.30、8.7.17和9.3中解决了该问题。

有关该漏洞的更多详细信息，请参阅Secarma发表的详细论文。