Joomla!出现严重漏洞bug,使攻击者通过LDAP认证在短时间内接管Joomla!
2017年09月25日
原文
拥有超过8400万次的下载量,Joomla!是现今互联网上最流行的内容管理系统(CMS)之一。其承载了收集天下全体网站内容和文章的3.3%。利用代码阐发对象RIPS在login controller中检测到曩昔不曾发明的LDAP注入漏洞破绽bug。这一个漏洞破绽bug能够招致长途攻击者利用盲注技巧爆出超等用户的暗码,使其能够经由过程LDAP认证在短时间内接管Joomla!漏洞破绽bug利用前提
装置如下版本的利用将会遭到该成绩的影响:
Joomla! 1.5
Joomla!设置装备摆设经由过程LDAP认证
该漏洞破绽bug不是由设置装备摆设缺点形成,攻击者不需要任何权限就能够利用此漏洞破绽bug。
漏洞破绽bug迫害
经由过程利用登录页面中的漏洞破绽bug,无权限的长途攻击者能够获得经由过程LDAP停止身份验证办事的Joomla!的认证凭据。这些认证凭据包含超等用户的用户名和暗码。而后,攻击者能够利用或获得的信息登录到管理员控制面板并经由过程上传自定义的Joomla!插件拿到Web办事的权限完成长途代码履行。
漏洞破绽bug阐发
起首,在LoginController中Joomla!从登录表单接管用户输出的用户认证凭据。
/administrator/components/com_login/controller.php
class LoginController extends JControllerLegacy
{
public function login()
{
⋮
$app = JFactory::getApplication();
⋮
$model = $this->getModel('login');
$credentials = $model->getState('credentials');
⋮
$app->login($credentials, array('action' => 'core.login.admin'));
}
}
认证凭据传递给login办法,而后挪用authenticate办法。
/libraries/cms/application/cms.php
class JApplicationCms extends JApplicationWeb
{
public function login($credentials, $options = array())
{
⋮
$authenticate = JAuthentication::getInstance();
$authenticate->authenticate($credentials, $options);
}
}
/libraries/joomla/authentication/authentication.php
class JAuthentication extends JObject
{
public function authenticate($credentials, $options = array())
{
⋮
$plugin->onUserAuthenticate($credentials, $options, $response);
}
}
基于用于认证的插件,authenticate办法将认证凭据传递给onUserAuthenticate办法。假如Joomla!被设置装备摆设为利用LDAP停止身份验证,LDAP插件的办法将会被挪用。
/plugins/authentication/ldap/ldap.php
class PlgAuthenticationLdap extends JPlugin
{
public function onUserAuthenticate($credentials, $options, &$response)
{
⋮
$userdetails = $ldap->simple_search(
str_replace(
'[search]',
$credentials['username'],
$this->params->get('search_string')
)
);
}
}
在LDAP插件中,用户名凭据嵌入到search_string选项中指定的LDAP查问中。依据民间Joomla!文档表现,search_string设置装备摆设选项是“用于搜刮用户的查问字符串,此中[search]由登录字段中的搜刮文本间接调换”,比方“uid = [search]”。而后将LDAP查问传递给连接到LDAP办事并履行ldap_search的LdapClient的simple_search办法。
/libraries/vendor/joomla/ldap/src/LdapClient.php
class LdapClient
{
public function simple_search($search)
{
$results = explode(';', $search);
foreach ($results as $key => $result)
{
$results[$key] = '(' . $result . ')';
}
return $this->search($results);
}
public function search(array $filters, ...)
{
foreach ($filters as $search_filter)
{
$search_result = @ldap_search($res, $dn, $search_filter, $attr);
}
}
}
用户输出与LDAP查问标志混杂,并将其传递给敏感的ldap_search函数。
PoC
LDAP查问中利用的用户名短缺对输出内容的过滤,容许结构恶意病毒木马内容停止LDAP查问。经由过程利用通配符和经由过程察看分歧的身份验证差错新闻,攻击者能够逐字地搜刮登录凭据,办法是一一发送一行有意义的字符串去赓续预测。
XXX;(&(uid=Admin)(userPassword=A*))
XXX;(&(uid=Admin)(userPassword=B*))
XXX;(&(uid=Admin)(userPassword=C*))
...
XXX;(&(uid=Admin)(userPassword=s*))
...
XXX;(&(uid=Admin)(userPassword=se*))
...
XXX;(&(uid=Admin)(userPassword=sec*))
...
XXX;(&(uid=Admin)(userPassword=secretPassword))
每个测试用例会以后前往2种分歧的成果,以此成果断定每一名的准确与否。固然咱们还要考虑到绕过filter的成绩,这里就不具体睁开介绍了。利用优化后的payload,能够高效的完成LDAP盲注。
修复倡议
进级至3.8版本
