Joomla远程命令执行漏洞复现

参考文章 https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html#_2

复现的环境为joomla3.2.5

首先解决joomla3.2.5在大于php5.6时报 iconv_set_encoding(): Use of iconv.output_encoding的错误

        (解决办法http://www.amazing-templates.com/at/index.php/support/tutorial/17-solution-for-deprecated-function-iconv-set-encoding-error-while-joomla-installation-in-php-5-6)

其次是joomla3.x 安装数据库的时候卡住的问题:

        找到joomla安装目录下的joomla.sql文件,J_dir/installation/sql/mysql/joomla.sql。

        修改此joomla.sql脚本文件,将所有的ENGINE=InnoDB改成ENGINE=MyISAM。


    这个洞主要用到了joomla的session的存储机制,但是我并不怎么了解session的底层行为,于是去搜了搜关于session的底层机制,但也没看出什么(笑,简单来说就是把一些用户认证的参数序列化后存进数据库,然后问题就出在序列化上,但在离歌的blog里所说的joomla所使用的session序列化是自定义的,但事实上joomla好像并没有自己重写session的序列化,包括blog中所说的:存储格式为『键名 + 竖线 + 经过 serialize() 函数反序列处理的值』也正是php自身序列化的格式。在libraries/joomla/session/storage/database.php中,


他只是对session做了一个quote的处理,这并不影响php默认的序列化,所以漏洞应该并不是出在joomla的session处理,应该是php本身序列化的漏洞。PHP的SESSION使用php方式进行序列化时,是不会对输入内容检查、过滤或者转义竖线的。

具体的关于这个漏洞的讨论在此:http://www.freebuf.com/vuls/91012.html

那这样的话这个漏洞还是只有php 5.6.13的环境下才能够复现这个漏洞了·。

        在php5.6.13以前的版本里,php在获取session字符串以后,就开始查找第一个|,然后用这个|将字符串分割成『键名』和『键值』。

        用unserialize解析键值,解析结果作为session。

        但如果这个unserialize解析失败,就放弃这次解析。找到下一个|,再根据这个|将字符串分割成两部分,执行同样的操作,直到解析成功。

        所以,这个joomla漏洞的核心内容就是:我们通过𝌆字符, 将原本的session截断了,结果因为长度不对所以第一次解析|失败,才轮到第二次解析我传入的|,最后成功利用。

        所以,构造session出错,是这个漏洞成立的核心。

        所以,我们还能不能想到其他利用方法?

        比如,我们可以用长字符(64k)串截断,来达成类似和𝌆字符截断一样的效果。


看到一个序列化你应该想到什么:

    首先找到反序列化的位置,然后查看在这个进行了反序列化操作的文件里包含了类,然后在这些可以被调用的类里找其中的__destruct是否存在敏感操作,如果存在的话就初始化这些类并且赋予这些类我们需要的变量,然后序列化后发送。但有时候找不到存在源文件里包含了敏感操作的类怎么办,那么还可以去找一些具有autoload的函数的类,而且要注意autoload不仅仅是自动包含这个类,而是定义这个类的文件,所以还可以研究这个具有autoload类的文件里所包含的其他文件。


这个漏洞中的要点:

    1.call_user_func_array($h,array(&$this)); 不仅可以用assert+eval执行任意代码,还可以在第一个参数里提交一个类,第二个里提交这个类里的函数,例如[new SimplePie(), 'init'],传入call_user_func_array,当init里存在敏感操作时也可以触发。

   2. 可以找autoload

    3.调用逻辑:找到具有敏感操作__destruct函数并且被进行反序列化操作的文件所包含的类JDatabaseDriverMysqli,在__destruct中调用了disconnect()函数,这个函数里有.call_user_func_array操作,如果这个函数里的两个操作都直接用的是类里的变量的话就可以直接使用了,但是第二个参数我们无法直接干预,那么我们可以把第一参数传一个类,第二个参数传这个类里的函数,这样就相当于调用类里的方法。这个被调用的类当然也需要满足存在敏感操作并且可控的这个条件,而且还需要能够被JDatabaseDriverMysqli所调用,但这样的条件过于苛刻,还有一种办法就是去调用哪些具有autolaod的类,这些类被定义时会自动包含定义他们的文件,这样这些类以及他们定义文件中所包含的类都成为了我们搜索敏感操作的点。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容