Joomla远程命令执行漏洞复现

参考文章 https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html#_2

复现的环境为joomla3.2.5

首先解决joomla3.2.5在大于php5.6时报 iconv_set_encoding(): Use of iconv.output_encoding的错误

        (解决办法http://www.amazing-templates.com/at/index.php/support/tutorial/17-solution-for-deprecated-function-iconv-set-encoding-error-while-joomla-installation-in-php-5-6)

其次是joomla3.x 安装数据库的时候卡住的问题:

        找到joomla安装目录下的joomla.sql文件，J_dir/installation/sql/mysql/joomla.sql。

        修改此joomla.sql脚本文件，将所有的ENGINE=InnoDB改成ENGINE=MyISAM。

    这个洞主要用到了joomla的session的存储机制，但是我并不怎么了解session的底层行为，于是去搜了搜关于session的底层机制，但也没看出什么（笑，简单来说就是把一些用户认证的参数序列化后存进数据库，然后问题就出在序列化上，但在离歌的blog里所说的joomla所使用的session序列化是自定义的，但事实上joomla好像并没有自己重写session的序列化，包括blog中所说的:存储格式为『键名 ＋ 竖线 ＋ 经过 serialize() 函数反序列处理的值』也正是php自身序列化的格式。在libraries/joomla/session/storage/database.php中，

他只是对session做了一个quote的处理，这并不影响php默认的序列化，所以漏洞应该并不是出在joomla的session处理，应该是php本身序列化的漏洞。PHP的SESSION使用php方式进行序列化时，是不会对输入内容检查、过滤或者转义竖线的。

具体的关于这个漏洞的讨论在此:http://www.freebuf.com/vuls/91012.html

那这样的话这个漏洞还是只有php 5.6.13的环境下才能够复现这个漏洞了·。

        在php5.6.13以前的版本里，php在获取session字符串以后，就开始查找第一个|，然后用这个|将字符串分割成『键名』和『键值』。

        用unserialize解析键值，解析结果作为session。

        但如果这个unserialize解析失败，就放弃这次解析。找到下一个|，再根据这个|将字符串分割成两部分，执行同样的操作，直到解析成功。

        所以，这个joomla漏洞的核心内容就是：我们通过字符， 将原本的session截断了，结果因为长度不对所以第一次解析|失败，才轮到第二次解析我传入的|，最后成功利用。

        所以，构造session出错，是这个漏洞成立的核心。

        所以，我们还能不能想到其他利用方法？

        比如，我们可以用长字符（64k）串截断，来达成类似和字符截断一样的效果。

看到一个序列化你应该想到什么:

    首先找到反序列化的位置，然后查看在这个进行了反序列化操作的文件里包含了类，然后在这些可以被调用的类里找其中的__destruct是否存在敏感操作，如果存在的话就初始化这些类并且赋予这些类我们需要的变量，然后序列化后发送。但有时候找不到存在源文件里包含了敏感操作的类怎么办，那么还可以去找一些具有autoload的函数的类，而且要注意autoload不仅仅是自动包含这个类，而是定义这个类的文件，所以还可以研究这个具有autoload类的文件里所包含的其他文件。

这个漏洞中的要点:

    1.call_user_func_array($h,array(&$this)); 不仅可以用assert+eval执行任意代码，还可以在第一个参数里提交一个类，第二个里提交这个类里的函数，例如[new SimplePie(), 'init']，传入call_user_func_array，当init里存在敏感操作时也可以触发。

   2. 可以找autoload

    3.调用逻辑:找到具有敏感操作__destruct函数并且被进行反序列化操作的文件所包含的类JDatabaseDriverMysqli，在__destruct中调用了disconnect()函数，这个函数里有.call_user_func_array操作，如果这个函数里的两个操作都直接用的是类里的变量的话就可以直接使用了，但是第二个参数我们无法直接干预，那么我们可以把第一参数传一个类，第二个参数传这个类里的函数，这样就相当于调用类里的方法。这个被调用的类当然也需要满足存在敏感操作并且可控的这个条件，而且还需要能够被JDatabaseDriverMysqli所调用，但这样的条件过于苛刻，还有一种办法就是去调用哪些具有autolaod的类，这些类被定义时会自动包含定义他们的文件，这样这些类以及他们定义文件中所包含的类都成为了我们搜索敏感操作的点。