使用WP的 Complete Gallery Manager 插件能夠使你簡單快捷地為你的網站建立一個相冊集

這個插件提供了很多很多好用的功能, 但如果你的用戶或是你自己不需要用到這些功能的話，請不要安裝太多WP的插件.這樣容易讓你的WP過于復雜，讓入侵者有可乘之機。

Complete Gallery Manager 一共有188個設置，其中有146個是使用單選框的形式，用來設置這個插件的功能。這樣會讓Complete Gallery Manager 設置起來更加安全、方便。

漏洞摘要:

一個獨立漏洞研究實驗室的研究人員發(fā)現了Wordpress插件 Complete Gallery Manager 3.3.3這個任意文件上傳漏洞。

等級:

高危

分析:

WordPress插件Complete Gallery Manager 3.3.3任意文件上傳漏洞允許遠程的攻擊者通過HTTP的POST方式上傳文件，這個文件的擴展名可以是任意格式的，Complete Gallery Manager這個插件中沒有嚴密的過濾代碼來限制這些未經授權的特殊后綴名文件上傳到服務器上。

產生這個漏洞的文件位于/plugins/complete-gallery-manager/frames/ 路徑的upload-images.php文件上。 這個文件沒有檢查上傳文件的內容，導致攻擊者可以上傳惡意文本內容或是webshells.

在上傳文件之后，遠程的攻擊者還能夠將文件的后綴名，從一個格式轉換成為另一個格式。例如，你可以上傳.jpg再將它轉換成.php文件。

這個漏洞的利用，不需要與管理員發(fā)生互動，而且不需要有管理員的權限，甚至不需要普通用戶的賬號密碼，就能完成這個攻擊。

想要成功地利用這個漏洞，只需要以上的那個文件路徑沒有被服務器所禁止，只要能訪問到/plugins/complete-gallery-manager/frames/upload-images.php這個路徑，你就可以直接上傳任意文件啦。

漏洞應用程序:

[+] CodeCanyon – Complete Gallery Manager

漏洞模塊:

[+] Image File Upload

漏洞文件:

[+] upload-images.php

受影響的模塊:

[+] 可影響整個WordPress系統(tǒng) (http://localhost:8000/)

測試證明

這個任意文件上傳漏洞，不需要與管理員發(fā)生互動，而且不需要有管理員的權限，甚至不需要普通用戶的賬號密碼，就能完成這個攻擊。

Google 語句:

allinurl:/wp-content/plugins/complete-gallery-manager/

漏洞頁面(自己架設):

http://wordpress.localhost:8080/wordpress/wp-content/plugins/complete-gallery-manager/frames/upload-images.php

Exploit :

上傳的shell地址 :

http://wordpress.localhost:8080/wp-content/2013/10/up.php