0x00 简介

涉及漏洞：

• CVE-2016-8869
• CVE-2016-8870

利用上述漏洞，攻击者可以注册特权用户

POC:

https://github.com/XiphosResearch/exploits/tree/master/Joomraa

https://www.exploit-db.com/exploits/40637/?rss

分析文章：

http://paper.seebug.org/88/

http://paper.seebug.org/86/

注：

0x01和0x02内容节选自分析文章

http://paper.seebug.org/88/

http://paper.seebug.org/86/

0x01 CVE-2016-8870

漏洞影响

网站关闭注册的情况下仍可创建用户

影响版本

3.4.4 to 3.6.3

漏洞原理

存在两个用于用户注册的方法：

位于components/com_users/controllers/registration.php中的UsersControllerRegistration::register()

位于components/com_users/controllers/user.php中的UsersControllerUser::register()

相对于UsersControllerRegistration::register()，UsersControllerUser::register()的实现中并没有这几行代码：

// If registration is disabled - Redirect to login page.
if (JComponentHelper::getParams('com_users')->get('allowUserRegistration') == 0)  
{
    $this->setRedirect(JRoute::_('index.php?option=com_users&view=login', false));

    return false;
}

这几行代码是检查是否允许注册，也就是说如果我们可以用UsersControllerUser::register()这个方法来进行注册就可以绕过这个检测

补丁分析

官方删除了UsersControllerUser::register()方法

注：

以上引用自http://paper.seebug.org/86/

0x02 CVE-2016-8869

漏洞影响

网站关闭注册的情况下仍可创建特权用户

影响版本

3.4.4 to 3.6.3

漏洞原理

构造特殊的请求包实现对用来表示权限的groups进行赋值

补丁分析

官方删除了UsersControllerUser::register()方法

注：

以上引用自http://paper.seebug.org/88/

0x03 实际测试

测试系统：

Win8.1 x86

1、搭建php环境

下载安装phpStudy

安装后如图

配置目录为：C:\WWW

2、配置Joomla环境

下载3.6.3版本的Joomla，地址如下：

https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz

解压后将文件放于C:\WWW下

访问http://localhost进入安装页面

如图

数据库类型选择MySQL，如图

登陆数据库，默认密码为root

如图

等待安装完成

3、网页登陆，测试

环境配置成功，如图

4、poc测试

poc地址：

https://github.com/XiphosResearch/exploits/tree/master/Joomraa

参数如下：

joomraa.py  -u hacker -p password -e hacker@example.com http://192.168.1.111

如下图，提示需要登陆邮箱查看激活邮件，所以邮箱参数需要填写真实的邮箱地址

此时查看Joomla后台，发现用户添加成功，但是状态为未激活，如图

5、设置Joomla，开启发送激活邮件的功能

选择Global Configuration-Global-Server

如图

设置邮箱参数

注： 邮箱账户需要开启SMTP功能

选择Send Test Mail验证邮箱，如图

如图，验证邮件接收成功

6、再次测试POC

成功收到激活邮件，如图

点开链接后报错，如图

查看Joomla源码，位置如下：

https://github.com/joomla/joomla-cms/blob/staging/components/com_users/controllers/registration.php

找到问题原因： If user registration or account activation is disabled, throw a 403.

如下图

7、开启用户注册功能

选择Global Configuration-Users-User Options，点击允许用户注册，如图

注：

自Joomla3.4以后，用户注册功能默认关闭

8、最后测试

开启用户注册功能后，再次点击激活邮件，成功激活账户

如图

后台显示用户激活，如图

9、得出最终结论

利用该漏洞可在网站后台关闭用户注册的情况下创建特权用户，但是状态为未激活

只有网站后台开启发送邮件的功能后，攻击者邮箱才能收到激活邮件

只有网站后台开启用户注册功能，激活码才能生效，使得用户被激活

未激活的用户无法用于登录

高于3.4版本的Joomla，用户注册功能默认关闭

Joomla升级到3.6.4后，测试poc显示攻击成功，然而网站后台并没有添加用户，也不会发送激活邮件，防御成功

综上，攻击者想要获得网站后台管理员权限，需要同时满足以下条件：

• Joomla版本为3.4.4-3.6.3
• 网站后台开启发送邮件功能
• 网站后台开启用户注册功能

0x04 备注

感谢DM的帮助

本文仅为测试记录

根据POC开发了一个检查网站是否开放注册功能的python脚本，地址如下：

https://github.com/3gstudent/Test-Exploit-for-Joomla-3.4.4-3.6.4

可用来简单判断网站是否支持用户注册

在此提醒网站管理员，尽快升级Joomla，如果Joomla版本过低，并且开启发送邮件和用户注册功能，那么很容易遭到攻击。

LEAVE A REPLY