CVE-2016-8870(Joomla 提权类漏洞 )

最新推荐文章于 2023-07-11 10:44:58 发布
最新推荐文章于 2023-07-11 10:44:58 发布
阅读量1.4k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/79573058
版权

前言

     Joomla是一套全球知名的内容管理系统。Joomla是使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、Windows、MacOSX等各种不同的平台上执行。目前是由OpenSourceMatters这个开放源码组织进行开发与支持。 

漏洞编号

CVE-2016-8870

漏洞影响范围

joomal 3.4.4 ~3.6.3

漏洞分析

在存在漏洞的版本中有两个用户注册的方法:

(1)位于components/com_users/controllers/registration.php中的UserControllerRegistration::register()

public function register()
    {
        // Check for request forgeries.
        JSession::checkToken() or jexit(JText::_('JINVALID_TOKEN'));

        // If registration is disabled - Redirect to login page.
        if (JComponentHelper::getParams('com_users')->get('allowUserRegistration') == 0)
        {
            $this->setRedirect(JRoute::_('index.php?option=com_users&view=login', false));

            return false;
        }
        $app   = JFactory::getApplication();
        $model = $this->getModel('Registration', 'UsersModel');

        // Get the user data.
        $requestData = $this->input->post->get('jform', array(), 'array');

        // Validate the posted data.
        $form = $model->getForm();

        .......................................................
    }

(2)位于components/com_users/controllers/user.php中的UsersControllerUser::register()

public function register()
    {
        JSession::checkToken('post') or jexit(JText::_('JINVALID_TOKEN'));

        // Get the application
        $app = JFactory::getApplication();

        // Get the form data.
        $data = $this->input->post->get('user', array(), 'array');

        // Get the model and validate the data.
        $model  = $this->getModel('Registration', 'UsersModel');

        $form = $model->getForm();

        ............................
    }

可以通过对比UserControllerRegistration::register()和UsersControllerUser::register()发现,在

UsersControllerUser::register()缺少以下代码:

// If registration is disabled - Redirect to login page.
if (JComponentHelper::getParams('com_users')->get('allowUserRegistration') == 0)
{
    $this->setRedirect(JRoute::_('index.php?option=com_users&view=login', false));

    return false;
}

这几行代码是检查是否允许注册,也就是说如果我们可以用UsersControllerUser::register()这个方法来进行注册就可以绕过这个检测发送的请求参数task=registration.register能够知道这里默认注册是调用的register.php下UsersControllerRegistration类,但是我们想要调用的是user.php下UsersControllerUser

下面进行一个简单的提权的分析:

在利用注册的时候,我们使用的user.php下UsersControllerUser类的register方法的最后面有这样一句代码

$return = $model->register($data);

这句代码调用了components/com_users/models/registration.php下的register方法,我们可以在这里看一下这个方法:

public function regioter($tomp)
$parama 一JcomponentHolper getParamd ‘com_usero ’)
1Initlalise the table with JUser.
$uaer 一new JUaeri
$data- (array) $thia->getData( )1
"1Nerge in the registration data.
foreach ($temp ag $k -> $v)
$data[sk]- $vI
11Prepare the data for the userobject
$data['emall']- JStringPunycode temailroPunycode $data['emall 1' ]) ,
$data[' pasgword'] 一$datal'passwordl' ]1
$useractivation 一$params->get( ugeractivation )1
$eendpaseword 一$params->get( Bendpassword ,1) 1
11Check 1f the user needs to activate their account.
if (($useractivation -- 1) I1($useractivation - 2) )

 

 

$data参数分析

由下图可以看到其实我们这个$data实际还存在一个参数是groups的数组,而这个数组就决定了账户的权限。

 

这里groups的第一个值决定了账户的权限。默认情况下我们注册时groups的第一个值为2,即Registered。我们要构造数据包的值为7,Administrator。

 

 

漏洞复现

 

(1)打开注册选项:

(2)注册用户

 

抓到注册用户的数据包

 

(3)将网站注册选项关闭,更改数据包进行用户注册,之后再使用Reapter进行发送

(4)用户注册成功,只是普通用户,将这个用户删掉,进行管理员账户的创建

(5)更改数据包,将创建的用户的分组设置为第七个分组,即管理员分组

(6)注册用户成功,提权成功,显示用户等级为Adaministrator

 

FLy_鹏程万里
关注
专栏目录
CVE-2023-23752:Joomla未授权访问漏洞复现
薛定谔嘚喵博客
09-01 1593
Joomla是一个免费的开源内容管理系统(CMS),允许用户构建网站和在线应用程序。它于 2005 年首次发布,此后成为最受欢迎的 CMS 平台之一,为全球数百万个网站提供支持。 在 Joomla! 4.0.0 到 4.2.7 中发现了一个问题。不正确地访问检查允许对 Web 服务终结点进行未经授权的访问。
CVE-2018-6376复现-Joomla!3.8.4-SQL注入漏洞
qq_42322144的博客
09-16 886
1.1漏洞原因 1.1.1漏洞描述 图9 CVE-2018-6376 漏洞被描述为:在Joomla!在3.8.4之前,SQL语句中缺少型转换导致Hathor postinstall消息中的SQL注入漏洞。 为了预防SQL注入攻击,而将输入到应用程序中的某些数据进行了“转义(escape)”,但是这些数据却又在“未被转义(Unescaped)”的查询窗体中重复使用。此时,攻击者可能注入的是一个PAYLOAD,这样就会构成一个SQL查询语句并被执行; 当用户可控数据以不安全的方式合并到数据库SQL查询中时,
joomla未授权创建特权用户分析(CVE-2016-8870CVE-2016-8869)
Bendawang's Blog
10-26 5195
CVE-2016-8869和CVE-2016-8870
Joomla! 任意用户注册与提权漏洞 请及时更新
weixin_34018202的博客
10-31 308
2019独角兽企业重金招聘Python工程师标准>>> ...
joomla渗透测试(脏牛提权
a3320315的博客
05-15 1058
本来是个域渗透,不过环境有问题,就当作web题在做了 解题过程 这是一个joomla cms 我们先扫一下目录 连接mysql 得到MySQL的账号和密码 然后创建新的管理员 INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2','d2064
Joomla漏洞利用
qq_44635376的博客
02-01 844
这里写目录标题漏洞扫描Joomla3.7.0有一个sql注入漏洞Join hash文件登陆Joomla管理控制台以后的利用蚁剑链接,反弹shell提权 漏洞扫描 joomscan -u http://192.168.1.24/ Joomla3.7.0有一个sql注入漏洞 //--dbs 可变参数部分,通过更改这个参数来获取数据库,表,用户密码 sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout
Vulnhub之 DC-3 joomla注入和ubuntu16.04提权
ST0new的博客
07-21 1342
Vulnhub靶机之DC-3 前言 刚考完试,然而不能放弃对技术的热爱,又重新拾起了dc准备把他们6个做完 今天介绍的是dc-3 ,来看看作者对他的评价 描述: DC-3是另一个专门建造的脆弱实验室,旨在获得渗透测试领域的经验。 与之前的DC版本一样,这个版本在设计时考虑了初学者,虽然这一次,只有一个标志,一个入口点,根本没有线索。 Linux技能和熟悉Linux命令行是必须的,基本渗透测...
houyusen#poc#(CVE-2016-8869)Joomla 3.4.4-3.6.3 未授权创建特权用户1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程
CVE-2015-7857 Joomla注入漏洞利用工具
04-18
"Joomla漏洞利用.exe" 文件可能是用于测试系统是否存在CVE-2015-7857漏洞的工具。这工具通常由安全研究人员或渗透测试人员使用,以评估网站的安全性。然而,恶意用户也可能滥用这工具进行非法攻击。因此,对于...
VULNHUB靶机渗透——DC-3(JoomlaCMS漏洞和Ubuntu16.04本地提权漏洞)
aarong的博客
12-31 2328
网络拓扑:攻击机kali和靶机dc-3同在NAT模式下 信息收集: arp-scan和nmap扫描: arp-scan -l nmap -T4 -A -v -p 1-65535 192.168.65.137 靶机开了80端口,待会浏览器访问 扫描出了Joomla好像是一个网络模板,百度搜一下看看: 猜对了,这就是一个网络模板 浏览器访问: 作者提示这次只有一个flag,要提权到root才能看到,并且没有任何提示。 dirsearch扫描网站路径:dirsearch -u http://192.1
Joomla-3.4.6远程代码执行漏洞利用与分析
Adminxe的博客
07-16 1413
0x01 Joomla简介 Joomla!是一套自由、开放源代码的内容管理系统,以PHP撰写,用于发布内容在万维网与内部网,通常被用来搭建商业网站、个人博客、信息管理系统、Web 服务等,还可以进行二次开发以扩充使用范围。目前最新版本3.9.11,Joomla!是一套自由的开源软件,使用GPL授权,任何人随时都能下载 Joomla! 并使用。 0x02 漏洞简介 在exploit-db(https://www.exploit-db.com/exploits/47465)发布了Joomla命令执行...
Joomla未授权访问漏洞|CVE-2023-23752复现及修复
szgyunyun的博客
03-16 2654
Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤,导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求(如:/api/index.php/v1/config/application?本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
【网络安全】垂直越权漏洞与代码分析
m0_59598029的博客
01-16 1148
文章写完了之后,申请CVE有一些麻烦,不过好在还是申请到了ps 申请CVE前,已经提交了CNVD【一>所有资源获取
sqlmap 注入 Joomla系列
余笙.'的博客
04-02 5706
这里我用的是 joomla 先进入 txt 网站平台 网站:http://110.40.154.100:8080/?id=1 第一步:找注入点 "http://110.40.154.100:8080/index.php?option=com_fields&view=fields&layout=modal&list%5Bfullordering%5D=" 第二步:打开kali 用sqlmap 爆破 找其数据库名(过程很慢 耐心等待) sqlmap -u "http://110.
CVE-2023-23752-Joomla权限绕过漏洞研判分析
12306小哥
07-11 717
Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。
Joomla权限绕过漏洞CVE-2023-23752)vulhub漏洞复现
qq_53003652的博客
07-07 861
Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。可获取网站最重要的配置信息,包含数据库的账号与密码。即可看到joomla页面。可获取所有用户的信息。
垂直越权漏洞与代码分析
kali_Ma的博客
01-10 2156
一、前言 文章写完了之后,申请CVE有一些麻烦,不过好在还是申请到了 ps 申请CVE前,已经提交了CNVD 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线 二、环境搭建 按照官方教程 git clone https://github.com/flipped-aurora/gin-vue-admin.git
垂直越权漏洞的修复
热门推荐
u011651342的博客
05-23 1万+
前段时间我参与的项目被公司的安全部门检测出垂直越权的安全漏洞,我组长让我负责修复一下。 首先我查阅了一下什么是越权,以及什么是垂直越权。 (一)越权以及垂直越权 越权访问漏洞指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能,在实际的代码审计中,这种漏洞往往很难通过工具进行自动化监测,因此在实际应用中危害很大。其与未授权访问有一定差别,目前存在着两种越权操作型,横向越权操作(水平越权)和纵向越权操作(垂直越权) 水平越
sqlmap注入详解(joomla案例)
m0_63028223的博客
04-01 2769
我们以该网站为例: 我们需要先找到其报错注入点: 再次要注意:报错注入点中的 ‘ [] ’ 符号是不能为sqlmap所识别的。我们所需要将其转换为url编码。 之后进入正题 打开kali并开启root权限,利用sqlmap扫描其数据库。--dbs 这时候我们得到了该网站的五个表。 我们进入joomla表中。-D joomla --tables 之后我们进入#__users列中并指定想要获取的信息。 这时候便得到了我们想要的账户,密码,以及邮箱。 此密码经过加密,解密..
CVE-2016-5195 脏牛提权
最新发布
10-14
CVE-2016-5195是一种Linux内核漏洞,也称为“脏牛”漏洞,攻击者可以利用该漏洞提升其权限并访问系统中的敏感信息。 该漏洞的原因是在Linux内核中存在一个特权提升漏洞,攻击者可以通过修改系统中的文件来利用该漏洞。攻击者可以使用该漏洞来获取root权限并访问系统中的敏感信息。 该漏洞已经被修复,用户应该及时更新其系统以避免受到攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值