【CVE复现计划】CVE-2023-23752

最新推荐文章于 2024-06-14 09:22:46 发布
最新推荐文章于 2024-06-14 09:22:46 发布
阅读量972 收藏 6
点赞数 20
分类专栏: PHP代码安全审计 CVE复现计划 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138919/article/details/137202754
版权

CVE-2023-23752 

简介:

Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。

影响版本:

Joomla CMS 4.0.0 ~ 4.2.7

靶场复现: 

1. 春秋云镜

https://yunjing.ichunqiu.com/cve/detail/1161?type=1&pay=2

2.phpstudy+phpstorm

源码下载 

 POC:

攻击者可以通过在访问Rest API时传入参数public=true来绕过权限校验。 

/api/index.php/v1/users?public=true

 

代码审计:

1.源码只有三个路由路口即:

/index.php

/api/index.php

/administartor/index.php

在 /api/index.php发现了JSON,我们知道JSON 已经快速发展成为REST API选择的格式,所以我们从这个路由开始入手

2.我们在/api/index.php会来到/includes/app.php(源码在上边自行提取)

我们进入 /app/includes/app.php  发现execute()方法执行应用程序的主要逻辑,处理API请求并生成响应

3.跟进execute方法 存在于CMSApplication.php

public function execute()
    {
        try {
            $this->sanityCheckSystemVariables();
            $this->setupLogging();
            $this->createExtensionNamespaceMap();

            // Perform application routines.
            $this->doExecute();

            // If we have an application document object, render it.
            if ($this->document instanceof \Joomla\CMS\Document\Document) {
                // Render the application output.
                $this->render();
            }

            // If gzip compression is enabled in configuration and the server is compliant, compress the output.
            if ($this->get('gzip') && !ini_get('zlib.output_compression') && ini_get('output_handler') !== 'ob_gzhandler') {
                $this->compress();

                // Trigger the onAfterCompress event.
                $this->triggerEvent('onAfterCompress');
            }
        } catch (\Throwable $throwable) {
            /** @var ErrorEvent $event */
            $event = AbstractEvent::create(
                'onError',
                [
                    'subject'     => $throwable,
                    'eventClass'  => ErrorEvent::class,
                    'application' => $this,
                ]
            );

            // Trigger the onError event.
            $this->triggerEvent('onError', $event);

            ExceptionHandler::handleException($event->getError());
        }

        // Trigger the onBeforeRespond event.
        $this->getDispatcher()->dispatch('onBeforeRespond');

        // Send the application response.
        $this->respond();

        // Trigger the onAfterRespond event.
        $this->getDispatcher()->dispatch('onAfterRespond');
    }

这里主要关注doExecute()方法  因为该方法执行应用程序例行程序 我们跟进该方法

路径:

protected function doExecute()
    {
        // Initialise the application
        $this->initialiseApp();

        // Mark afterInitialise in the profiler.
        JDEBUG ? $this->profiler->mark('afterInitialise') : null;

        // Route the application
        $this->route();

        // Mark afterApiRoute in the profiler.
        JDEBUG ? $this->profiler->mark('afterApiRoute') : null;

        // Dispatch the application
        $this->dispatch();

        // Mark afterDispatch in the profiler.
        JDEBUG ? $this->profiler->mark('afterDispatch') : null;
    }

逻辑很简单 先初始化应用程序 ,然后调用了一个名为 route() 的方法来处理应用程序的路由逻辑,确定要执行的控制器和方法,然后调用了一个名为 dispatch() 的方法来执行路由后的应用程序逻辑,跟进route和dispatch函数

4. route方法

    protected function route()
    {
        $router = $this->getContainer()->get(ApiRouter::class);

        // Trigger the onBeforeApiRoute event.
        PluginHelper::importPlugin('webservices');
        $this->triggerEvent('onBeforeApiRoute', [&$router, $this]);
        $caught404 = false;
        $method    = $this->input->getMethod();

        try {
            $this->handlePreflight($method, $router);

            $route = $router->parseApiRoute($method);
        } catch (RouteNotFoundException $e) {
            $caught404 = true;
        }

        /**
         * Now we have an API perform content negotiation to ensure we have a valid header. Assume if the route doesn't
         * tell us otherwise it uses the plain JSON API
         */
        $priorities = ['application/vnd.api+json'];

        if (!$caught404 && \array_key_exists('format', $route['vars'])) {
            $priorities = $route['vars']['format'];
        }

        $negotiator = new Negotiator();

        try {
            $mediaType = $negotiator->getBest($this->input->server->getString('HTTP_ACCEPT'), $priorities);
        } catch (InvalidArgument $e) {
            $mediaType = null;
        }

        // If we can't find a match bail with a 406 - Not Acceptable
        if ($mediaType === null) {
            throw new Exception\NotAcceptable('Could not match accept header', 406);
        }

        /** @var $mediaType Accept */
        $format = $mediaType->getValue();

        if (\array_key_exists($mediaType->getValue(), $this->formatMapper)) {
            $format = $this->formatMapper[$mediaType->getValue()];
        }

        $this->input->set('format', $format);

        if ($caught404) {
            throw $e;
        }

        $this->input->set('controller', $route['controller']);
        $this->input->set('task', $route['task']);

        foreach ($route['vars'] as $key => $value) {
            // We inject the format directly above based on the negotiated format. We do not want the array of possible
            // formats provided by the plugin!
            if ($key === 'format') {
                continue;
            }

            // We inject the component key into the option parameter in global input for b/c with the other applications
            if ($key === 'component') {
                $this->input->set('option', $route['vars'][$key]);
                continue;
            }

            if ($this->input->getMethod() === 'POST') {
                $this->input->post->set($key, $value);
            } else {
                $this->input->set($key, $value);
            }
        }

        $this->triggerEvent('onAfterApiRoute', [$this]);

        if (!isset($route['vars']['public']) || $route['vars']['public'] === false) {
            if (!$this->login(['username' => ''], ['silent' => true, 'action' => 'core.login.api'])) {
                throw new AuthenticationFailed();
            }
        }
    }

 看下面这一行,调用 parseApiRoute​ 对路由进行处理

$route = $router->parseApiRoute($method);

继续看下面的if   这行代码的作用是在路由中检查是否存在 public 变量和vars, 如果public为flase 则进行登录验证。如果登录验证失败,则抛出 AuthenticationFailed 异常

 

我们debug可以发现 public参数控制着API是否对外开放,默认情况下public是false的,不对外开放

我们先跟进 parseApiRoute方法 看看它怎么进行处理的


        $routePath = $this->getRoutePath(); //获取路由信息

        $query = Uri::getInstance()->getQuery(true);//获取用户输入的url参数

继续观察下面

  所以我们可以通过路径传入的值在之后可以覆盖替换原本的值  令?public=ture,此时route.var中的变量会被请求的变量覆盖。由于public=true,所以接口不需要身份验证,直接到达路由分发,也就可以访问内部资源了 所以得到flag

其他利用 :

v1/banners
v1/banners/:id
v1/banners
v1/banners/:id
v1/banners/:id
v1/banners/clients
v1/banners/clients/:id
v1/banners/clients
v1/banners/clients/:id
v1/banners/clients/:id
v1/banners/categories
v1/banners/categories/:id
v1/banners/categories
v1/banners/categories/:id
v1/banners/categories/:id
v1/banners/:id/contenthistory
v1/banners/:id/contenthistory/keep
v1/banners/:id/contenthistory
v1/config/application
v1/config/application
v1/config/:component_name
v1/config/:component_name
v1/contacts/form/:id
v1/contacts
v1/contacts/:id
v1/contacts
v1/contacts/:id
v1/contacts/:id
v1/contacts/categories
v1/contacts/categories/:id
v1/contacts/categories
v1/contacts/categories/:id
v1/contacts/categories/:id
v1/fields/contacts/contact
v1/fields/contacts/contact/:id
v1/fields/contacts/contact
v1/fields/contacts/contact/:id
v1/fields/contacts/contact/:id
v1/fields/contacts/mail
v1/fields/contacts/mail/:id
v1/fields/contacts/mail
v1/fields/contacts/mail/:id
v1/fields/contacts/mail/:id
v1/fields/contacts/categories
v1/fields/contacts/categories/:id
v1/fields/contacts/categories
v1/fields/contacts/categories/:id
v1/fields/contacts/categories/:id
v1/fields/groups/contacts/contact
v1/fields/groups/contacts/contact/:id
v1/fields/groups/contacts/contact
v1/fields/groups/contacts/contact/:id
v1/fields/groups/contacts/contact/:id
v1/fields/groups/contacts/mail
v1/fields/groups/contacts/mail/:id
v1/fields/groups/contacts/mail
v1/fields/groups/contacts/mail/:id
v1/fields/groups/contacts/mail/:id
v1/fields/groups/contacts/categories
v1/fields/groups/contacts/categories/:id
v1/fields/groups/contacts/categories
v1/fields/groups/contacts/categories/:id
v1/fields/groups/contacts/categories/:id
v1/contacts/:id/contenthistory
v1/contacts/:id/contenthistory/keep
v1/contacts/:id/contenthistory
v1/content/articles
v1/content/articles/:id
v1/content/articles
v1/content/articles/:id
v1/content/articles/:id
v1/content/categories
v1/content/categories/:id
v1/content/categories
v1/content/categories/:id
v1/content/categories/:id
v1/fields/content/articles
v1/fields/content/articles/:id
v1/fields/content/articles
v1/fields/content/articles/:id
v1/fields/content/articles/:id
v1/fields/content/categories
v1/fields/content/categories/:id
v1/fields/content/categories
v1/fields/content/categories/:id
v1/fields/content/categories/:id
v1/fields/groups/content/articles
v1/fields/groups/content/articles/:id
v1/fields/groups/content/articles
v1/fields/groups/content/articles/:id
v1/fields/groups/content/articles/:id
v1/fields/groups/content/categories
v1/fields/groups/content/categories/:id
v1/fields/groups/content/categories
v1/fields/groups/content/categories/:id
v1/fields/groups/content/categories/:id
v1/content/articles/:id/contenthistory
v1/content/articles/:id/contenthistory/keep
v1/content/articles/:id/contenthistory
v1/extensions
v1/languages/content
v1/languages/content/:id
v1/languages/content
v1/languages/content/:id
v1/languages/content/:id
v1/languages/overrides/search
v1/languages/overrides/search/cache/refresh
v1/languages/overrides/site/zh-CN
v1/languages/overrides/site/zh-CN/:id
v1/languages/overrides/site/zh-CN
v1/languages/overrides/site/zh-CN/:id
v1/languages/overrides/site/zh-CN/:id
v1/languages/overrides/administrator/zh-CN
v1/languages/overrides/administrator/zh-CN/:id
v1/languages/overrides/administrator/zh-CN
v1/languages/overrides/administrator/zh-CN/:id
v1/languages/overrides/administrator/zh-CN/:id
v1/languages/overrides/site/en-GB
v1/languages/overrides/site/en-GB/:id
v1/languages/overrides/site/en-GB
v1/languages/overrides/site/en-GB/:id
v1/languages/overrides/site/en-GB/:id
v1/languages/overrides/administrator/en-GB
v1/languages/overrides/administrator/en-GB/:id
v1/languages/overrides/administrator/en-GB
v1/languages/overrides/administrator/en-GB/:id
v1/languages/overrides/administrator/en-GB/:id
v1/languages
v1/languages
v1/media/adapters
v1/media/adapters/:id
v1/media/files
v1/media/files/:path/
v1/media/files/:path
v1/media/files
v1/media/files/:path
v1/media/files/:path
v1/menus/site
v1/menus/site/:id
v1/menus/site
v1/menus/site/:id
v1/menus/site/:id
v1/menus/administrator
v1/menus/administrator/:id
v1/menus/administrator
v1/menus/administrator/:id
v1/menus/administrator/:id
v1/menus/site/items
v1/menus/site/items/:id
v1/menus/site/items
v1/menus/site/items/:id
v1/menus/site/items/:id
v1/menus/administrator/items
v1/menus/administrator/items/:id
v1/menus/administrator/items
v1/menus/administrator/items/:id
v1/menus/administrator/items/:id
v1/menus/site/items/types
v1/menus/administrator/items/types
v1/messages
v1/messages/:id
v1/messages
v1/messages/:id
v1/messages/:id
v1/modules/types/site
v1/modules/types/administrator
v1/modules/site
v1/modules/site/:id
v1/modules/site
v1/modules/site/:id
v1/modules/site/:id
v1/modules/administrator
v1/modules/administrator/:id
v1/modules/administrator
v1/modules/administrator/:id
v1/modules/administrator/:id
v1/newsfeeds/feeds
v1/newsfeeds/feeds/:id
v1/newsfeeds/feeds
v1/newsfeeds/feeds/:id
v1/newsfeeds/feeds/:id
v1/newsfeeds/categories
v1/newsfeeds/categories/:id
v1/newsfeeds/categories
v1/newsfeeds/categories/:id
v1/newsfeeds/categories/:id
v1/plugins
v1/plugins/:id
v1/plugins/:id
v1/privacy/requests
v1/privacy/requests/:id
v1/privacy/requests/export/:id
v1/privacy/requests
v1/privacy/consents
v1/privacy/consents/:id
v1/privacy/consents/:id
v1/redirects
v1/redirects/:id
v1/redirects
v1/redirects/:id
v1/redirects/:id
v1/tags
v1/tags/:id
v1/tags
v1/tags/:id
v1/tags/:id
v1/templates/styles/site
v1/templates/styles/site/:id
v1/templates/styles/site
v1/templates/styles/site/:id
v1/templates/styles/site/:id
v1/templates/styles/administrator
v1/templates/styles/administrator/:id
v1/templates/styles/administrator
v1/templates/styles/administrator/:id
v1/templates/styles/administrator/:id
v1/users
v1/users/:id
v1/users
v1/users/:id
v1/users/:id
v1/fields/users
v1/fields/users/:id
v1/fields/users
v1/fields/users/:id
v1/fields/users/:id
v1/fields/groups/users
v1/fields/groups/users/:id
v1/fields/groups/users
v1/fields/groups/users/:id
v1/fields/groups/users/:id
v1/users/groups
v1/users/groups/:id
v1/users/groups
v1/users/groups/:id
v1/users/groups/:id
v1/users/levels
v1/users/levels/:id
v1/users/levels
v1/users/levels/:id
v1/users/levels/:id

修复: 

1.官方:Comparing 4.2.7...4.2.8 · joomla/joomla-cms · GitHub

2.升级 Joomla为高版本

总结:

该漏洞是由于route方法 中var的变量会被url请求的变量覆盖而覆盖,即当public为ture时 ,攻击者可以任意访问内部资源

参考:

https://xz.aliyun.com/t/12175?time__1311=mqmhD5DK7IejhDBdPx2DUEFNHyDWucHb%2BD

 

W3nd4L0v3
关注
  • 20
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2023-23752:Joomla未授权访问漏洞复现
薛定谔嘚喵博客
09-01 1460
Joomla是一个免费的开源内容管理系统(CMS),允许用户构建网站和在线应用程序。它于 2005 年首次发布,此后成为最受欢迎的 CMS 平台之一,为全球数百万个网站提供支持。 在 Joomla! 4.0.0 到 4.2.7 中发现了一个问题。不正确地访问检查允许对 Web 服务终结点进行未经授权的访问。
Joomla存在未授权访问漏洞【CVE-2023-23752
holyxp的博客
06-27 549
Joomla是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。
Linux内核提权漏洞CVE-2023-32233复测及POC脚本
qq_18209847的博客
05-17 1509
近日,研究人员发现了Linux内核的NetFilter框架中的新漏洞(CVE-2023-32233)。问题的根源在于tfilter nf_tables是如何处理批处理请求的,经过身份验证的本地攻击者可通过发送特制的请求破坏Netfilter nf_tables的内部状态,从而获得更高权限。目前,研究人员还开发了一个PoC。注意:一旦在易受攻击的系统上启动了PoC(概念验证),该系统可能会处于不稳定状态,并且内核内存可能被破坏。我们强烈建议在专用系统上测试PoC,以避免可能的数据损坏。
春秋云镜 CVE-2023-23752(Joomla未授权访问漏洞)
M372109150的博客
05-01 209
Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。
Joomla权限绕过漏洞(CVE-2023-23752)vulhub漏洞复现
qq_53003652的博客
07-07 662
Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。可获取网站最重要的配置信息,包含数据库的账号与密码。即可看到joomla页面。可获取所有用户的信息。
2023HW漏洞POC/EXP、情报汇总知识库(0820更新)
lurenjia404的博客
08-21 664
分析结论:木马下载器HW总结模板一2023年,与往年的护网“划水”的角色不同 ,领导鼓励(命令)我今年要扛起写护网总结报告的大旗。作为一线“工具人”,写总结材料真的很头疼,相信很多人和我都有同感。于是在护网开始就开始着手准备总结材料,做到未雨绸缪,尤其是4月护网结束后,下面还有省级、市级护网,以及7月的建党100周年的安保,估计每次都将会少不了总结报告。特从网上搜集了总结模板,分享给大家。由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~
CVE-2023-21839漏洞本地简单复现
crowsec
02-27 4845
CVE-2023-21839漏洞复现
KeePass敏感信息明文传输漏洞复现CVE-2023-24055)
蚁景网安学院
02-20 964
KeePass 是一款免费的开源密码管理器,可帮助您以安全的方式管理您的密码。您可以将所有密码存储在一个数据库中,该数据库由一把万能钥匙锁定。因此,您只需记住一个主密钥即可解锁整个数据库。数据库文件使用目前已知的最佳和最安全的加密算法(AES-256、ChaCha20 和 Twofish)进行加密。
CVE漏洞复现-CVE-2023-32233 NetFilter权限提升
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-06 3086
Netfilter是Linux 内核中的网络数据包处理框架(iptables)通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理具体,详情请见。
【Apache ActiveMQ 远程代码执行漏洞复现(CVE-2023-46604)】
一纸荒芜的博客
04-26 1250
近期在漏洞扫描时发现服务器存在CVE-2023-46604漏洞,故做一下漏洞复现记录。
CVE漏洞复现-CVE-2023-38831 WinRAR代码执行漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
10-27 1069
WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在 Windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。从5.60版开始,WinRAR启用了新的图标,但用户仍可以通过官网提供的主题包换回原版风格的图标。
CVE-2023-32315-Openfire-Bypass-main.zip
07-17
复现CVE-2023-32315
CVE-2017-12615-master.zip
09-04
CVE-2017-12615漏洞利用工具;CVE-2017-12615漏洞利用工具;
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 296
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
无回显XXE攻击:隐秘的数据泄露技术
最新发布
weixin_43822401的博客
06-14 422
无回显XXE攻击是一种隐蔽的数据泄露手段,攻击者可以在不引起目标服务器注意的情况下获取敏感信息。了解这种攻击的原理和防御策略对于保护网络安全至关重要。通过本文的介绍,希望读者能够提高对无回显XXE攻击的认识,并采取相应的防护措施。
软考初级网络管理员__网络单选题
2301_80961833的博客
06-12 911
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
复现CVE-2016-3088
10-15
好的,CVE-2016-3088是一个Apache Struts2框架的漏洞,攻击者可以通过构造恶意请求来执行任意代码。要复现该漏洞,可以按照以下步骤进行: 1. 下载Apache Struts2框架,并解压缩。 2. 在解压后的目录中,找到struts2-showcase.war文件,并将其复制到Tomcat的webapps目录下。 3. 启动Tomcat服务器。 4. 访问http://localhost:8080/struts2-showcase/index.action,可以看到Struts2的示例页面。 5. 在示例页面中,点击左侧菜单栏中的"File Upload"链接。 6. 在"File Upload"页面中,选择一个文件,并在"Filename"输入框中输入一个恶意的文件名,例如"test.jpg${233*233}"。 7. 点击"Upload"按钮上传文件。 8. 在上传成功后,访问http://localhost:8080/struts2-showcase/upload/test.jpg23300.action即可执行恶意代码。 需要注意的是,该漏洞只存在于Struts2版本2.3.x和2.5.x中,如果使用其他版本的Struts2框架,则无法复现该漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W3nd4L0v3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值