joomla CMS后台另类拿WebShell方法

漏洞概要关注数(0) 关注此漏洞

缺陷编号： WooYun-2011-02640

漏洞标题： joomla CMS后台另类拿WebShell方法

相关厂商： joomla CMS

漏洞作者： akacd

提交时间： 2011-08-07

公开时间： 2011-08-07

漏洞类型： 命令执行

危害等级： 中

自评Rank： 7

漏洞状态： 未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org

Tags标签： 第三方不可信程序 php源码审核 白盒测试 php代码执行漏洞 joomla

0人收藏  收藏

分享漏洞：

0

---

漏洞详情

披露状态：

2011-08-07： 积极联系厂商并且等待厂商认领中，细节不对外公开
2011-08-07： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

joomla CMS后台有个专门更新插件的接口，只支持上传ZIP文件。 Google 一下目前最新版本是 joomla_1.6。下载了一个中文语言包ZIP格式的，解压出来如下： pkg_zh_CN.xml 代码如下： ?xml version=1.0 encoding=UTF-8 ? !-- $Id: zh-CN.install.xml 216 2011-03...

详细说明：

joomla CMS后台有个专门更新插件的接口，只支持上传ZIP文件。


Google 一下目前最新版本是 joomla_1.6。下载了一个中文语言包ZIP格式的，解压出来如下：



pkg_zh_CN.xml 代码如下：



Simplified Chinese Language Pack
zh-CN
zh-CN
1.6.1
2011-03-12
CHN Translation Team
[email protected]
www.joomla.cn
Copyright (C) 2010 CHN Joomla Translation Team (http://joomlacode.org/gf/project/choice/). All rights reserved.
http://www.gnu.org/licenses/gpl-2.0.html GNU/GPL



site_zh-CN.zip
admin_zh-CN.zip


升级或者更新插件不就是读取XML里面的 site_zh-CN.zip 和 admin_zh-CN.zip 吗？
解压 admin_zh-CN.zip 再看看 install.xml 里面的代码。


install.xml：


简体中文
zh-CN
1.6.1
2011-03-08
Derek Joe(zhous)
[email protected]
www.joomla.cn
Copyright (C) 2010 CHN Joomla Translation (http://joomlacode.org/gf/project/choice/). All rights reserved.
GNU General Public License version 2 or later; see LICENSE.txt



index.html
zh-CN.com_admin.ini
zh-CN.com_admin.sys.ini
zh-CN.com_banners.ini
zh-CN.com_banners.sys.ini
zh-CN.com_cache.ini
zh-CN.com_cache.sys.ini
zh-CN.com_categories.ini
zh-CN.com_categories.sys.ini
zh-CN.com_checkin.ini
zh-CN.com_checkin.sys.ini
zh-CN.com_config.ini
zh-CN.com_config.sys.ini
zh-CN.com_contact.ini
zh-CN.com_contact.sys.ini
zh-CN.com_content.ini
zh-CN.com_content.sys.ini
zh-CN.com_cpanel.ini


更新不就是install.xml读取压缩包里面的文件，然后到WEB上面解压出来吗，于是有了想法。
在代码下面加上：>xxxxxx.php
然后再里面创建一个 xxxxxx.php 写上你的大马，打包记得一下要是ZIP文件，否则不能上传。
替换掉原来的 admin_zh-CN.zip，然后再进行打包 site_zh-CN.zip 和 admin_zh-CN.zip。
上传安装，你的 xxxxxx.php 会解压到目录：administrator\language\zh-CN
得到 WebShell 的地址：
http://xxxx.com/administrator/language/zh-CN/xxxxxx.php
至于 joomla_1.6 之前的版本，同样的方法，只是代码稍有变动