当exp对象反序列化后,将会成为一个JDatabaseDriverMysqli类对象,不管中间如何执行,最后都将会调用__destruct,__destruct将会调用disconnect,disconnect里有一处敏感函 call_user_func_array。 但很明显,这里的call_user_func_array的第二个参数,是我们无法控制的。所以不能直接构造assert+eval来执行任意代码。 于是这里...
就可以愉快地利用这种“溢出”构造一个可以实现 RCE 的一个新的对象,在可以控制反序列化对象以后,我们只需构造一个能够一步步调用的执行链,即可进行一些危险的操作了。 在本次曝光的Poc中就是用username字段进行溢出,password字段进行对象注入,如果插入任意serialize字符串,构造反序列化漏洞了,到这里就和之前的漏洞CVE...
就可以愉快地利用这种“溢出”构造一个可以实现 RCE 的一个新的对象,在可以控制反序列化对象以后,我们只需构造一个能够一步步调用的执行链,即可进行一些危险的操作了。 在本次曝光的Poc中就是用username字段进行溢出,password字段进行对象注入,如果插入任意serialize字符串,构造反序列化漏洞了,到这里就和之前的漏洞CVE...
Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网:https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。 漏洞影响版本 Joomla 3.0.0-3.4.6 漏洞复...
在此次漏洞复现和原理分析过程中,学到很多东西,在这里要感谢PHITHON关于Joomla远程代码执行漏洞的总结,让我少走了很多弯路。 0x00 简介 1、Joomla是一套全球有名的CMS系统。 2、Joomla基于PHP语言加上MySQL数据库所开发出来的WEB软件系统,目前最新版本是3.9.15。
自2012年颁奖典礼开始以来,Joomla连续多年成为CMS评奖的冠军。继2015、2016、2017、2018年在全球CMS评测中,它再次获得“最佳开源CMS”奖! 0x01 漏洞概述 Alessandro Groppo @Hacktive Security于2019-10-02在exploit-db( https://www.exploit-db.com/exploits/47465)发布了Joomla命令执行的EXP,漏洞本质是Joomla对sess...
漏洞的利用步骤包括:首先进行URL解码,使用username字段进行溢出,password字段进行对象注入。如果插入任意serialize字符串,则构造反序列化漏洞。对于版本3.1.4-3.4.6的CMS,在执行exp文件时,可以正常获取shell。在这些版本中,利用burp等工具分析步骤时,对shell连接测试没有问题。在3.1.4以下版本时,...
所以在进行反序列化的时候,还会继续向后读取27个字符长度,这样序列化的结果就完全不一样了。本次 Joomla 的漏洞,就是这个原理,这里不再赘述。 最后,我们再来看下POP链,也是比较简单,直接看下图吧。这里主要注意两个问题: SimplePie 类无法导入,可参考 Joomla远程代码执行漏洞分析(总结)。 SimplePie->feed_url 的...
首先参考PHITHON 师傅的一篇文章“Joomla远程代码执行漏洞分析“收获很多,依据PHITHON 师傅的思路,同样,在我们可以控制反序列化对象以后,我们只需构造一个能够一步步调用的执行链,即可进行一些危险的操作了。exp构造的执行链,分别利用了JDatabaseDriverMysqli和SimplePie类 ...
对于版本信息3.1.4-3.4.6的CMS,在执行exp文件时都是可以正常getshell的, 3.1.4-3.4.6版本利用burp按步分析,对shell连接测试的时候没问题。(fuck是我写的echo字段,具体情况根据个人所写代码的不同而不同) 在3.1.4以下版本该步骤无法全部正常执行,写入shell失败,经过长时间的追踪发现,是由于在发送特殊构造(包括写...