【漏洞预警】Joomla未授权创建账号/权限提升漏洞

joomla_3_6_4_teaser

Joomla是一个自由开源的内容管理系统,在10月25日Joomla 发布了3.6.4版本。其中修复了2个关键的安全问题和一个认证的bug。Joomla的安全团队确认了这个安全问题。

根据这两个漏洞的简短技术描述,其允许远程攻击者在Joomla网站创建具有提升权限的账号(即使在用户注册功能被禁用的情况下)。

漏洞详情

CVE-2016-8870

账号创建(Account Creation)

影响版本:3.4.4到3.6.3

描述:不严谨的检查允许用户在网站不允许注册的时候注册账号

详情:https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html

CVE-2016-8869

权限提升(Elevated Privileges)

影响版本:3.4.4到3.6.3

描述:如果错误使用未过滤数据,用户可以注册具有提升权限的账号

详情:https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

Joomla团队表示,这两个漏洞对3.4.4至3.6.3版本均造成影响。攻击者利用漏洞能劫持JoomlaCMS安装程序。

漏洞复现

CVE-2016-8870  账号创建(Account Creation)

首先在后台关闭注册功能,关闭后首页没有注册选项:

no-register

然后通过访问index.php抓包获取cookie,通过看index.php源码获取token:

get-cookie

构造注册请求:

joomlacve

发包,成功注册:

attack

CVE-2016-8869  权限提升(Elevated Privileges)

注册

注册部分可参考:CVE-2016-8870 账号创建(Account Creation)

提权

我们可以构造如下请求包:

joomlacve2

这里我们添加一组值:name=”user[groups][]” value=7,让user被当作二维数组,从而groups被识别为数组,并设置数组第一个值为7,对应着Administrator的权限。

然后发包,通过调试可以看到$temp中已经有了groups数组:

temp

最后创建了一个权限为Administrator的用户attacker2:

exp

参考

修复方案

升级到3.6.4

参考

原创文章,作者:Vuls,如若转载,请注明出处:http://www.mottoin.com/article/web/91059.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code