Joomla二阶注入(CVE-2018-6376)复现分析

[TOC]
### 1.前言
>前几天看到的洞，今天抽出了时间复现分析一波。

### 2.复现环境
- **PHP 5.6**
- **joomla 3.8.3(文章最后会附带该版本官方下载地址)**

### 3.复现前提
- **需要进入后台,可以为低权限账号**
- **版本<=3.8.3 OR >= 3.7.0**

### 3.正文
首先我们得知在会员修改资料处 `admin_style` 参数产生的漏洞，先来分析一下数据存储的情况

>在这之前我木有读过 `Joomla` 的源码的，所以对应的代码我也不知道在哪，因此只能根据 `URL` 然后寻找对应的代码文件所在处。

![1-1.png](http://www.bugsafe.cn/usr/uploads/2018/02/3034825353.png)

上面复现抓包时候可以看到URL：`/joomla/administrator/index.php?option=com_admin&view=profile&layout=edit&id=5`

最后找到代码文件：`/administrator/components/com_admin/controllers/profile.php`

```php
public function save($key = null, $urlVar = null)
{
	$this->setRedirect(JRoute::_('index.php?option=com_admin&view=profile&layout=edit&id=' . JFactory::getUser()->id, false));

$return = parent::save();//这行代码看上去非常像是保存数据的地方。我们追这个代码在哪。

if ($this->getTask() != 'apply')
	{
		// Redirect to the main page.
		$this->setRedirect(JRoute::_('index.php', false));
	}
	return $return;
}
```
最后发现第五行代码调用是在:`/libraries/src/MVC/Controller/FormController.php`文件处
`$data  = $this->input->post->get('jform', array(), 'array');` 这里是获取POST请求的数据。在代码上打印下。看下是不是真的在这。
可以看到下图，的确是打印出来。由此可以猜测这个地方是正确的获取数据处。
![44.png](http://www.bugsafe.cn/usr/uploads/2018/02/1529424354.png)

然后接下来的部分代码都是在处理这些参数，所以都省略了。
继续看到 `!$model->save($validData)`，这里将一些处理好的数据传到了 `$model->save()` 中，跟下这方法后发现代码在：`/administrator/components/com_admin/models/profile.php` 处
```php
	public function save($data)
	{
		$user = JFactory::getUser();

unset($data['id']);
		unset($data['groups']);
		unset($data['sendEmail']);
		unset($data['block']);

$isUsernameCompliant = $this->getState('user.username.compliant');

if (!JComponentHelper::getParams('com_users')->get('change_login_name') && $isUsernameCompliant)
		{
			unset($data['username']);
		}
		// Bind the data.
		if (!$user->bind($data))
		{
			$this->setError($user->getError());

return false;
		}

$user->groups = null;

// Store the data.
		if (!$user->save())
		{
			$this->setError($user->getError());

return false;
		}
		// echo 5;exit;

$this->setState('user.id', $user->id);

return true;
	}
```
最后追踪发现在 `/libraries/joomla/database/driver.php` 的 `updateObject` 方法将数据插入进了数据库
![3.png](http://www.bugsafe.cn/usr/uploads/2018/02/954929917.png)

插入之后我们去看下数据库里的数据
![1-2.png](http://www.bugsafe.cn/usr/uploads/2018/02/1710059878.png)
已经把 `payload` 插了进去。

最后刷新首页。已经产生注入，注意：下面的SQL语句是我特意打印出来的，不打印是没有的。
![2.png](http://www.bugsafe.cn/usr/uploads/2018/02/1671180047.png)

看下相关触发代码：`/administrator/templates/hathor/postinstall/hathormessage.php`
```php
	// Get the current user admin style
	$adminstyle = $user->getParam('admin_style', '');
	if ($adminstyle != '')
	{
		$query = $db->getQuery(true)
			->select('template')
			->from($db->quoteName('#__template_styles'))
			->where($db->quoteName('id') . ' = ' . $adminstyle[0])
			->where($db->quoteName('client_id') . ' = 1');
		// Get the template name associated to the admin style
		$template = $db->setquery($query)->loadResult();
	}
```
可以看到 `	$adminstyle = $user->getParam('admin_style', '');` 就是获取我们提交的 `admin_style` 参数，然后这里执行的数据查询条件是 `where($db->quoteName('id') . ' = ' . $adminstyle[0])` 也就是说 `admin_style` 得是一个数组，并且下标为0才是我们要往里填写 `payload` 的位置。
先到修改资料处，抓包。注意这里 `jform[params][admin_style][0]` 这里的0下标是自己添加的。原本是没有的，因为我们看代码得知它是以下标为0的内容作为查询条件。所以我们要自行加个0下标。因为这里执行的 `id` 并没有加单引号保护或者直接强制类型，最后导致了二阶注入的产生。

### 4.下载地址
Joomla 3.8.3：[https://downloads.joomla.org/cms/joomla3/3-8-3/Joomla_3-8-3-Stable-Full_Package.zip?format=zip](https://downloads.joomla.org/cms/joomla3/3-8-3/Joomla_3-8-3-Stable-Full_Package.zip?format=zip "https://downloads.joomla.org/cms/joomla3/3-8-3/Joomla_3-8-3-Stable-Full_Package.zip?format=zip")

Poacher's Blog

信息安全梦开始的地方,一个菜鸡#

Joomla二阶注入(CVE-2018-6376)复现分析

添加新评论

最新文章