參考文章 https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html#_2
復(fù)現(xiàn)的環(huán)境為joomla3.2.5
首先解決joomla3.2.5在大于php5.6時報?iconv_set_encoding(): Use of iconv.output_encoding的錯誤
????????(解決辦法http://www.amazing-templates.com/at/index.php/support/tutorial/17-solution-for-deprecated-function-iconv-set-encoding-error-while-joomla-installation-in-php-5-6)
其次是joomla3.x?安裝數(shù)據(jù)庫的時候卡住的問題:
????????找到j(luò)oomla安裝目錄下的joomla.sql文件,J_dir/installation/sql/mysql/joomla.sql询张。
????????修改此joomla.sql腳本文件刘莹,將所有的ENGINE=InnoDB改成ENGINE=MyISAM鼓蜒。
? ? 這個洞主要用到了joomla的session的存儲機制呼股,但是我并不怎么了解session的底層行為溉卓,于是去搜了搜關(guān)于session的底層機制懂从,但也沒看出什么(笑败京,簡單來說就是把一些用戶認證的參數(shù)序列化后存進數(shù)據(jù)庫,然后問題就出在序列化上泡仗,但在離歌的blog里所說的joomla所使用的session序列化是自定義的埋虹,但事實上joomla好像并沒有自己重寫session的序列化,包括blog中所說的:存儲格式為『鍵名 + 豎線 + 經(jīng)過 serialize() 函數(shù)反序列處理的值』也正是php自身序列化的格式娩怎。在libraries/joomla/session/storage/database.php中搔课,
他只是對session做了一個quote的處理,這并不影響php默認的序列化截亦,所以漏洞應(yīng)該并不是出在joomla的session處理爬泥,應(yīng)該是php本身序列化的漏洞。PHP的SESSION使用php方式進行序列化時崩瓤,是不會對輸入內(nèi)容檢查袍啡、過濾或者轉(zhuǎn)義豎線的。
具體的關(guān)于這個漏洞的討論在此:http://www.freebuf.com/vuls/91012.html
那這樣的話這個漏洞還是只有php 5.6.13的環(huán)境下才能夠復(fù)現(xiàn)這個漏洞了·却桶。
????? ??在php5.6.13以前的版本里境输,php在獲取session字符串以后蔗牡,就開始查找第一個|,然后用這個|將字符串分割成『鍵名』和『鍵值』嗅剖。
? ? ? ? 用unserialize解析鍵值辩越,解析結(jié)果作為session。
????????但如果這個unserialize解析失敗信粮,就放棄這次解析黔攒。找到下一個|,再根據(jù)這個|將字符串分割成兩部分蒋院,執(zhí)行同樣的操作亏钩,直到解析成功莲绰。
????????所以,這個joomla漏洞的核心內(nèi)容就是:我們通過??字符, 將原本的session截斷了嘁灯,結(jié)果因為長度不對所以第一次解析|失敗师痕,才輪到第二次解析我傳入的|,最后成功利用震肮。
????????所以称龙,構(gòu)造session出錯,是這個漏洞成立的核心戳晌。
? ? ? ? 所以鲫尊,我們還能不能想到其他利用方法?
????????比如沦偎,我們可以用長字符(64k)串截斷疫向,來達成類似和??字符截斷一樣的效果。
看到一個序列化你應(yīng)該想到什么:
? ? 首先找到反序列化的位置豪嚎,然后查看在這個進行了反序列化操作的文件里包含了類搔驼,然后在這些可以被調(diào)用的類里找其中的__destruct是否存在敏感操作,如果存在的話就初始化這些類并且賦予這些類我們需要的變量侈询,然后序列化后發(fā)送舌涨。但有時候找不到存在源文件里包含了敏感操作的類怎么辦,那么還可以去找一些具有autoload的函數(shù)的類扔字,而且要注意autoload不僅僅是自動包含這個類囊嘉,而是定義這個類的文件,所以還可以研究這個具有autoload類的文件里所包含的其他文件革为。
這個漏洞中的要點:
? ? 1.call_user_func_array($h,array(&$this));?不僅可以用assert+eval執(zhí)行任意代碼扭粱,還可以在第一個參數(shù)里提交一個類,第二個里提交這個類里的函數(shù)篷角,例如[new SimplePie(), 'init']焊刹,傳入call_user_func_array,當init里存在敏感操作時也可以觸發(fā)。
? ?2.?可以找autoload
? ? 3.調(diào)用邏輯:找到具有敏感操作__destruct函數(shù)并且被進行反序列化操作的文件所包含的類JDatabaseDriverMysqli虐块,在__destruct中調(diào)用了disconnect()函數(shù)俩滥,這個函數(shù)里有.call_user_func_array操作,如果這個函數(shù)里的兩個操作都直接用的是類里的變量的話就可以直接使用了贺奠,但是第二個參數(shù)我們無法直接干預(yù)霜旧,那么我們可以把第一參數(shù)傳一個類,第二個參數(shù)傳這個類里的函數(shù)儡率,這樣就相當于調(diào)用類里的方法挂据。這個被調(diào)用的類當然也需要滿足存在敏感操作并且可控的這個條件,而且還需要能夠被JDatabaseDriverMysqli所調(diào)用儿普,但這樣的條件過于苛刻崎逃,還有一種辦法就是去調(diào)用哪些具有autolaod的類,這些類被定義時會自動包含定義他們的文件眉孩,這樣這些類以及他們定義文件中所包含的類都成為了我們搜索敏感操作的點个绍。