漏洞利用對(duì)作者深深的怨念

　　看懂了revision和漏洞原因WordPress批量添加欄目，利用應(yīng)該很簡(jiǎn)單：

　　對(duì)寫入文章的revision進(jìn)行評(píng)論

　　編輯評(píng)論狀態(tài)為注入攻擊語(yǔ)句

　　將revision丟入垃圾箱

　　還原最開始的文章(revision的原版)

　　看似沒(méi)有什么問(wèn)題，不知道各位還記不記得我們上文說(shuō)的_wpnonce。對(duì)!就是這個(gè)坑!作者通篇沒(méi)有提到這個(gè)漏洞要怎么獲取_wpnonce!這最直接的導(dǎo)致我們第1、2、4步?jīng)]有辦法玩了o(╯□╰)o。

　　我猜測(cè)作者沒(méi)有提及這個(gè)問(wèn)題，要么是他自己也沒(méi)找到，這篇文章其實(shí)只是個(gè)標(biāo)題黨，要么是他藏了一手。從作者前后漏洞關(guān)聯(lián)的那么緊密來(lái)看WordPress批量添加欄目，我比較傾向于后一種原因，所以這里要幽怨的瞪他一眼~~

　　小結(jié)

　　作者利用讀取數(shù)據(jù)庫(kù)中存儲(chǔ)內(nèi)容沒(méi)有進(jìn)行過(guò)濾的盲點(diǎn)進(jìn)行二次注入的思路比較直接，但是利用revision編輯垃圾箱中文章這個(gè)點(diǎn)真心贊。

　　在分析過(guò)程中發(fā)現(xiàn)revision的編輯并非向作者所說(shuō)的可以改成trash之外的任意類型，文章?tīng)顟B(tài)大概有publish、future、private、inherit、auto-draft、attachment、draft、pedding、trash這幾種WordPress批量助手，而我們所能修改的文章類型只能是inherit、pedding和draft這三種。否則，如果我可以修改文章?tīng)顟B(tài)為private，從前臺(tái)完成利用第1，2步操作.

　　斷斷續(xù)續(xù)的跟了這個(gè)漏洞一周的時(shí)間了，最大的感受就是作者真心是個(gè)坑o(╯□╰)o

　　0x03 總結(jié)

　　跟這個(gè)漏洞體會(huì)最深的就是Wordpress的token機(jī)制在防護(hù)csrf的同時(shí)，也協(xié)助防御了其他類型的攻擊，一個(gè)很好的機(jī)制。

　　GP操作的邏輯是Web代碼的一個(gè)問(wèn)題，尤其是在做一些權(quán)限校驗(yàn)時(shí)候，很容易出現(xiàn)Wordpress這樣的GP交叉導(dǎo)致的邏輯混亂問(wèn)題。

　　二次注入應(yīng)該算是一個(gè)老生常談的問(wèn)題了，過(guò)于信任已記錄的數(shù)據(jù)，最終會(huì)導(dǎo)致忘記這條記錄其實(shí)是用戶寫入的。