joomla 3.4.6 RCE漏洞复现及简要分析

0x00

    前些日子，例行每天打开各大论坛，exploit-db进行遨游，发现了都在写joomla 3.4.6的RCE漏洞，也有说他是反序列漏洞。本来以为是跟几年前CVE-2015-8562的EXP公布了是同一个洞，再加上当时有任务就跳过没去测试。最近闲下来了，突然就想再试试，比较CVE-2015-8562这一个洞我当时没有成功利用过，拉了docker，用phpstudy搭了环境也都失败。结果，一看文章才发现虽然都需要用到反序列化构造POP链但是漏洞出现的地方并不一样。下面就讲一下这个洞的复现。

0x01

    首先先下载对应版本号 joomla 3.4.6 https://downloads.joomla.org/it/cms/joomla3/3-4-6

    然后取exploit-db上下载exp，这边就不放出来了。

    接下来用phpstudy搭建好环境之后就能测试了，emmmm php版本我使用的是5.4.45 比较在复现CVE-2015-8562发现特定版本才能达到反序列化的作用。

    接下来直接EXP利用：

      可以看到利用成功之后会在configuration.php文件下生成一段随机密钥的一句话，拿你的菜刀或者蚁剑连接就行。

0x10

      我们来看下EXP文件的简单构造。

      攻击过程主要如下：

      可以看到传入url以及构造的pop链然后对登录页面进行登录操作，我们可以看payload主要集中在pwd字段上，跟进到源码中，前文也提到该漏洞的利用是经过反序列化的，所以问题应该同样出现在session储存后以及取出时候出现的问题，我们先进入到joomla存放session会话数据的session表中，

    通过这张表我们发现，session数据在序列化之后会储存到数据库中，并且登陆失败的用户也会被记录，这也是为什么该exp不需要身份验证吧。

    回到joomla储存机制的本身，一开始我以为跟8562一样是对‘|’的过滤不充分导致的反序列化漏洞，看了下公布的文章和EXP，问题出在了read()和write()两个函数中，在储存和读取时候序列化问题导致能够绕过代码。

        着重read()以及write()的str_replace函数中，mysql没法处理空字符，他就将chr(0)*chr(0)在存入的时候变成\0\0\0取出来之后在替换回chr(0)*chr(0)。那么这时候问题就来了 \0\0\0长度为6，序列化之后s:6而chr(0)*chr(0)序列化之后s:3,攻击者可以恶意构造输入\0\0\0输入导致反序列化时由于被程序替换,会将后面的3个字符当作一起使用。这时候第二段字符就逃逸成功了。然后通过构造恶意代码就能达成攻击。

        那么我们应该如何构造pop攻击链呢

关于该漏洞的pop攻击链跟CVE-2015-8562是一样的JDatabaseDriverMysqli->__destruct->disconnect->call_user_func_array。通过控制参数值构成一个回调后门达到攻击。这里需要读者自行查阅了。        

0x11