Joomla! Core SQL注入漏洞(CVE-2018-8045)
漏洞描述:
joomla!3.5.0-3.8.5版本对sql语句内的变量缺少类型转换,导致User Notes列表视图内SQL注入漏洞
影响版本:
joomla!3.5.0-3.8.5
漏j洞复现:
首先,安装joomla!如3.8.5
然后,访问http://ip:port/YourJoomlaPath/administrator/index.php?option=com_users&view=notes,然后按下图顺序点击,并开启burpsuite拦截抓包
抓包后可以发现,Bcategory_id的值处便是注入点
尝试在7 后添加sql注入的paylaod,如and updatexml(1,concat(0x7e,(select version()),0x7e),3)等
如上图可见,复现成功
漏洞分析:
这是未修复的版本漏洞点:
$categoryId = $this->getState('filter.category_id');
if ($categoryId && is_scalar($categoryId))
{
$query->where('a.catid = ' . $categoryId);
}
可以看到,$categoryId = $this->getState(‘filter.category_id’); 在获取category_id未进行过滤,导致了sql注入
再看一下修复后的相关代码:
// Filter by a single or group of categories.
$categoryId = $this->getState('filter.category_id');
// Filter by a single category.
$categoryId = (int) $this->getState('filter.category_id');
if ($categoryId && is_scalar($categoryId))
if ($categoryId)
{
$query->where('a.catid = ' . $categoryId);
}
可以看到,3.8.6版本中对notes.php中的 c a t e g o r y I d 的 值 进 行 了 限 制 , 强 制 转 换 类 型 为 i n t 型 , 所 以 categoryId的值进行了限制,强制转换类型为int型,所以 categoryId的值进行了限制,强制转换类型为int型,所以categoryId是漏洞参数,可以进行sql注入
修复建议:
升级更新Joomla 以修复漏洞
漏洞相应拦截:
由于sql注入可以进行编码等方式绕过,所以需要注意绕过等,规则如下:
alert tcp any any -> any any (msg:"Joomla! Core SQL注入漏洞(CVE-2018-8045) Attempt"; flow:to_server,established; content:"|2f|administrator|2F|index|2E|php|3F|option|3D|com|5F|users|26|view|3D|notes"; pcre:"/category_id[\s\S]*\x3D[\s\S]*(([\s\S]*))|(%28[\s\S]*%29)/im"; reference:cve,2018-8045; classtype:web-application-attack; sid:20201104; rev:1;)
2059
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
