Joomla遠程命令執(zhí)行漏洞復(fù)現(xiàn)

參考文章 https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html#_2

復(fù)現(xiàn)的環(huán)境為joomla3.2.5

首先解決joomla3.2.5在大于php5.6時報?iconv_set_encoding(): Use of iconv.output_encoding的錯誤

????????(解決辦法http://www.amazing-templates.com/at/index.php/support/tutorial/17-solution-for-deprecated-function-iconv-set-encoding-error-while-joomla-installation-in-php-5-6)

其次是joomla3.x?安裝數(shù)據(jù)庫的時候卡住的問題:

????????找到j(luò)oomla安裝目錄下的joomla.sql文件,J_dir/installation/sql/mysql/joomla.sql询张。

????????修改此joomla.sql腳本文件刘莹,將所有的ENGINE=InnoDB改成ENGINE=MyISAM鼓蜒。


? ? 這個洞主要用到了joomla的session的存儲機制呼股,但是我并不怎么了解session的底層行為溉卓,于是去搜了搜關(guān)于session的底層機制懂从,但也沒看出什么(笑败京,簡單來說就是把一些用戶認證的參數(shù)序列化后存進數(shù)據(jù)庫,然后問題就出在序列化上泡仗,但在離歌的blog里所說的joomla所使用的session序列化是自定義的埋虹,但事實上joomla好像并沒有自己重寫session的序列化,包括blog中所說的:存儲格式為『鍵名 + 豎線 + 經(jīng)過 serialize() 函數(shù)反序列處理的值』也正是php自身序列化的格式娩怎。在libraries/joomla/session/storage/database.php中搔课,


他只是對session做了一個quote的處理,這并不影響php默認的序列化截亦,所以漏洞應(yīng)該并不是出在joomla的session處理爬泥,應(yīng)該是php本身序列化的漏洞。PHP的SESSION使用php方式進行序列化時崩瓤,是不會對輸入內(nèi)容檢查袍啡、過濾或者轉(zhuǎn)義豎線的。

具體的關(guān)于這個漏洞的討論在此:http://www.freebuf.com/vuls/91012.html

那這樣的話這個漏洞還是只有php 5.6.13的環(huán)境下才能夠復(fù)現(xiàn)這個漏洞了·却桶。

????? ??在php5.6.13以前的版本里境输,php在獲取session字符串以后蔗牡,就開始查找第一個|,然后用這個|將字符串分割成『鍵名』和『鍵值』嗅剖。

? ? ? ? 用unserialize解析鍵值辩越,解析結(jié)果作為session。

????????但如果這個unserialize解析失敗信粮,就放棄這次解析黔攒。找到下一個|,再根據(jù)這個|將字符串分割成兩部分蒋院,執(zhí)行同樣的操作亏钩,直到解析成功莲绰。

????????所以,這個joomla漏洞的核心內(nèi)容就是:我們通過??字符, 將原本的session截斷了嘁灯,結(jié)果因為長度不對所以第一次解析|失敗师痕,才輪到第二次解析我傳入的|,最后成功利用震肮。

????????所以称龙,構(gòu)造session出錯,是這個漏洞成立的核心戳晌。

? ? ? ? 所以鲫尊,我們還能不能想到其他利用方法?

????????比如沦偎,我們可以用長字符(64k)串截斷疫向,來達成類似和??字符截斷一樣的效果。


看到一個序列化你應(yīng)該想到什么:

? ? 首先找到反序列化的位置豪嚎,然后查看在這個進行了反序列化操作的文件里包含了類搔驼,然后在這些可以被調(diào)用的類里找其中的__destruct是否存在敏感操作,如果存在的話就初始化這些類并且賦予這些類我們需要的變量侈询,然后序列化后發(fā)送舌涨。但有時候找不到存在源文件里包含了敏感操作的類怎么辦,那么還可以去找一些具有autoload的函數(shù)的類扔字,而且要注意autoload不僅僅是自動包含這個類囊嘉,而是定義這個類的文件,所以還可以研究這個具有autoload類的文件里所包含的其他文件革为。


這個漏洞中的要點:

? ? 1.call_user_func_array($h,array(&$this));?不僅可以用assert+eval執(zhí)行任意代碼扭粱,還可以在第一個參數(shù)里提交一個類,第二個里提交這個類里的函數(shù)篷角,例如[new SimplePie(), 'init']焊刹,傳入call_user_func_array,當init里存在敏感操作時也可以觸發(fā)。

? ?2.?可以找autoload

? ? 3.調(diào)用邏輯:找到具有敏感操作__destruct函數(shù)并且被進行反序列化操作的文件所包含的類JDatabaseDriverMysqli虐块,在__destruct中調(diào)用了disconnect()函數(shù)俩滥,這個函數(shù)里有.call_user_func_array操作,如果這個函數(shù)里的兩個操作都直接用的是類里的變量的話就可以直接使用了贺奠,但是第二個參數(shù)我們無法直接干預(yù)霜旧,那么我們可以把第一參數(shù)傳一個類,第二個參數(shù)傳這個類里的函數(shù)儡率,這樣就相當于調(diào)用類里的方法挂据。這個被調(diào)用的類當然也需要滿足存在敏感操作并且可控的這個條件,而且還需要能夠被JDatabaseDriverMysqli所調(diào)用儿普,但這樣的條件過于苛刻崎逃,還有一種辦法就是去調(diào)用哪些具有autolaod的類,這些類被定義時會自動包含定義他們的文件眉孩,這樣這些類以及他們定義文件中所包含的類都成為了我們搜索敏感操作的點个绍。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市浪汪,隨后出現(xiàn)的幾起案子巴柿,更是在濱河造成了極大的恐慌,老刑警劉巖死遭,帶你破解...
    沈念sama閱讀 206,839評論 6 482
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件广恢,死亡現(xiàn)場離奇詭異,居然都是意外死亡呀潭,警方通過查閱死者的電腦和手機钉迷,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,543評論 2 382
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來蜗侈,“玉大人篷牌,你說我怎么就攤上這事√せ茫” “怎么了枷颊?”我有些...
    開封第一講書人閱讀 153,116評論 0 344
  • 文/不壞的土叔 我叫張陵,是天一觀的道長该面。 經(jīng)常有香客問我夭苗,道長,這世上最難降的妖魔是什么隔缀? 我笑而不...
    開封第一講書人閱讀 55,371評論 1 279
  • 正文 為了忘掉前任题造,我火速辦了婚禮,結(jié)果婚禮上猾瘸,老公的妹妹穿的比我還像新娘界赔。我一直安慰自己丢习,他們只是感情好,可當我...
    茶點故事閱讀 64,384評論 5 374
  • 文/花漫 我一把揭開白布淮悼。 她就那樣靜靜地躺著咐低,像睡著了一般。 火紅的嫁衣襯著肌膚如雪袜腥。 梳的紋絲不亂的頭發(fā)上见擦,一...
    開封第一講書人閱讀 49,111評論 1 285
  • 那天,我揣著相機與錄音羹令,去河邊找鬼鲤屡。 笑死,一個胖子當著我的面吹牛福侈,可吹牛的內(nèi)容都是我干的酒来。 我是一名探鬼主播,決...
    沈念sama閱讀 38,416評論 3 400
  • 文/蒼蘭香墨 我猛地睜開眼癌刽,長吁一口氣:“原來是場噩夢啊……” “哼役首!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起显拜,我...
    開封第一講書人閱讀 37,053評論 0 259
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎爹袁,沒想到半個月后远荠,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 43,558評論 1 300
  • 正文 獨居荒郊野嶺守林人離奇死亡失息,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,007評論 2 325
  • 正文 我和宋清朗相戀三年譬淳,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片盹兢。...
    茶點故事閱讀 38,117評論 1 334
  • 序言:一個原本活蹦亂跳的男人離奇死亡邻梆,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出绎秒,到底是詐尸還是另有隱情浦妄,我是刑警寧澤,帶...
    沈念sama閱讀 33,756評論 4 324
  • 正文 年R本政府宣布见芹,位于F島的核電站剂娄,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏玄呛。R本人自食惡果不足惜阅懦,卻給世界環(huán)境...
    茶點故事閱讀 39,324評論 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望徘铝。 院中可真熱鬧耳胎,春花似錦惯吕、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,315評論 0 19
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至诗轻,卻和暖如春钳宪,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背扳炬。 一陣腳步聲響...
    開封第一講書人閱讀 31,539評論 1 262
  • 我被黑心中介騙來泰國打工吏颖, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人恨樟。 一個月前我還...
    沈念sama閱讀 45,578評論 2 355
  • 正文 我出身青樓半醉,卻偏偏與公主長得像,于是被迫代替她去往敵國和親劝术。 傳聞我的和親對象是個殘疾皇子缩多,可洞房花燭夜當晚...
    茶點故事閱讀 42,877評論 2 345

推薦閱讀更多精彩內(nèi)容