Joomla 3.0-3.4.6-rce復現

00×00 前言

Joomla是一套內容管理系統，由PHP加Mysql資料庫所開發的系統。該漏洞本質上這是一個Session反序列化導致的RCE漏洞，由於Joomla對於Session的特殊處理，進行偽造session從而導致session反序列化。

00×01 漏洞分析

登陸時出現一個303跳轉將用戶輸入的數據存入資料庫中，先執行write函數再執行read函數。

利用read 函數會用『x00x2ax00』（NN）替換『』，重構原始對象。用username欄位進行溢出，password欄位進行對象注入。

Joomlalibrariesjoomlasessionstoragedatabase.php

00×02 漏洞復現

Joomla-3.4.6下載:https://downloads.joomla.org/cms/joomla3/3-4-6

站點搭建-設置資料庫。

使用現有腳本進行驗證Joomla-3.4.6-RCE

寫入一句話

configuration.php文末發現被寫入後面

url和密碼用菜刀連上

00×03 修復建議

升級到3.9.12版本。