Joomla 3.x Sql注入漏洞分析-华盟网

Joomla 3.x Sql注入漏洞分析

华盟学院山东省第二期线下学习计划

  Joomla是一套获得过多个奖项的内容管理系统(Content Management System,CMS),它采用PHP+MySQL数据库开发,可以运行在Linux、Windows、MacOSX、Solaris等多种平台上。除了具有新闻/文章管理、文档/图片管理、网站布局设置、模板/主题管理等一些基本功能外,还可以通过其提供的上千个插件进行功能扩展。同时它还支持多种语言,由于它的功能非常强大,语言支持强,因此在全世界范围内都有很广泛的应用。

  一、漏洞分析

  漏洞触发的代码位于:/administrator/components/com_contenthistory/models/history.php, getListQuery()函数内:

  Joomla 3.x Sql注入漏洞分析

  通过SQL及报错信息,可以知道我们的注入payload被插入到了红色框部分内。跟进getState()函数,位于ibraries/legacy/model/legacy.php文件内,代码如下:

  Joomla 3.x Sql注入漏洞分析

  从函数参数和官方注释,可以知道,getState()函数功能是获取一个model的属性及属性对应的值,getState()函数在model的属性未设置时,会执行$this->populateState()来对model的一些属性进行赋值操作。

  我们跟进populateState()函数看下做了什么操作,代码位于:/administrator/components/com_contenthistory/models/history.php 内:

  Joomla 3.x Sql注入漏洞分析

  该函数从用户输入中取出item_id,type_id,type_alias,等几个变量,对当前model的属性进行赋值,可控变量均强制为integer类型,无法利用。顺着最后一行代码:parent::populateState('h.save_date', 'DESC'),继续跟到父类中看父类populateState()函数的定义,代码位于:libraries/legacy/model/list.php,482行附近:

  Joomla 3.x Sql注入漏洞分析

  getUserStateFromRequest()函数用于将GET/POST中得list[]变量取回到$list中,并在第三个参数中指定该变量类型为array(),继续跟进:

  Joomla 3.x Sql注入漏洞分析

  代码对取到的list[]数组进行了遍历,并做相应的过滤、拆分,可以看到list[select]没有处理逻辑,会进入default的case,后续$this->setState('list.' . $name, $value)代码执行后,导致请求中list[select]变量没有任何变量被直接赋值给Model属性,继续回头看文章最开始的注入位置,此时我们可以控制$this->getState('list.select')的返回值,构造SQL注入。

  确认了输入可控的位置,构造有效的payload,还需要解决几个小问题。构造POC:index.php?option=com_contenthistory&view=history&item_id=1&type_id=1&list[select]=(exp(~(select * from(select md5(1))x)))

  会发现出现错误提示:Unknown column 'Array':

  Joomla 3.x Sql注入漏洞分析

  需要增加list[ordering]=将原SQL中的order by字段值清空。

  最终可执行POC:

  /index.php?option=com_contenthistory&view=history&item_id=1&list[ordering]=&type_id=1&list[select]=(exp(~(select * from(select md5(1))x)))

  执行会返回:         

         Joomla 3.x Sql注入漏洞分析

  此带回显POC成功执行需要一个前提条件,就是传入的item_id 可以在Joomla_ucm_history表中查询到,否则会返回“500 – Layout default not found.”的提示。根据原文描述,可以暴力猜解item_id或使用time_based payload,不再赘述。

  二、漏洞影响

  joomla3.2-3.4.4版本

  三、修复方案

  目前Joomla官方已经跟新3.4.5版本,用户可登陆后台进行更新。

  或下载官方升级包升级,下载地址:

  https://github.com/joomla/joomla-cms/releases

  四、参考链接

  https://www.trustwave.com/Resources/SpiderLabs-Blog/Joomla-SQL-Injection-Vulnerability-Exploit-Results-in-Full-Administrative-Access/

www.idc126.com

原文地址:https://hack.77169.com/201510/214931.shtm

本文由 华盟网 作者:怪狗 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论