CVE-2017-8917

原创 已于 2025-02-10 23:59:49 修改 · 863 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全

于 2025-02-08 22:10:17 首次发布

CVE-2017-8917(Joomla 3.7.0 SQL 注入漏洞)

漏洞描述

Joomla 3.7 版本后引入一个新的组件 “com_fields”,这一组件会引发易被利用的漏洞,并且不需要受害者网站上的高权限,这意味着任何人都可以通过对站点恶意访问利用这个漏洞。

影响版本

  • joomla 3.7.0

环境配置

  • Vulhub 项目
  • Docker-compose 启动

漏洞复现

漏洞存在验证

[!success]
joomla 版本为 3.7.0,符合漏洞利用条件

http://192.168.40.129:8080/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,database()),1)


search cve:2017-8917
use exploit/unix/webapp/joomla_comfields_sqli_rce

[!success]
在正常情况下已经成功了,我这里由于没有注册管理员,所以失败了

漏洞原理

Joomla 在 3.7.0 中新增了一个 com_field 组件,其控制器的构造函数如下,在 components/com_fields/controller.php 中:

可以看到当访问的 viewfieldslayoutmodal 的时候,程序会从 JPATH_ADMINISTRATOR 中加载 com_fields,这就意味着普通用户可以通过这样的请求来使用管理员的 com_fields

接下来我们看管理员的 com_fields 组件,我们来到 administrator/components/com_fields/models/fields.php,其中的 getListQuery 的部分代码如下:

程序通过 $this->getState 取到 list.fullordering,然后使用 $db->escape 处理后传入 $query->order 函数,mysqli 的 escape 函数代码如下:

Alt text

这里调用 mysqli_real_escape_string 来转义字符,该函数具体作用如下:

Alt text

仅对单双引号等字符进行转义,并未做更多过滤。另外 $query->order 函数的作用仅仅是将数据拼接到 ORDER BY 语句后,也并未进行过滤,所以如果 list.fullordering 可控,那么就可以进行注入。

我们可以看到 list.fullordering 是一个 statestate 会在视图的 display 函数中进行设置:

跟进这个设置过程,程序会走到 libraries/legacy/model/list.php 中的 populateState 函数中,具体的调用栈如下:

Alt text

该函数中有如下一段代码:

if ($list = $app->getUserStateFromRequest($this->context . '.list', 'list', array(), 'array'))
{
    foreach ($list as $name => $value)
    {
        // Exclude if blacklisted
        if (!in_array($name, $this->listBlacklist))
        {

            ...

            $this->setState('list.' . $name, $value);
        }
    }
}

程序通过 $app->getUserStateFromRequest 取到一个 $list 数组 ,如果数组的 key 不在黑名单中,则遍历该数组对相应 state 进行注册,getUserStateFromRequest 的代码如下:

结合前面的调用来看,我们可以通过请求中的参数 list 来设置 $list 变量,因此我们访问 http://ip/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(2,concat(0x7e,(version())),0) 并开启动态调试动态调试,结果如下:

Alt text

可以看到 list.fullordering 已经被我们控制。

回到 getListQuery,该函数会在视图加载时被自动调用,具体函数调用栈如下:

Alt text

所以我们的 payload 也就通过 getState 传入了这个函数,最终导致 SQL 注入:

Alt text

修复建议

  • 升级 joomla 版本

补丁分析

Alt text

改为取 list.orderinglist.direction 作为查询的参数,这两个参数在 populateState 函数中做了如下处理:

Alt text
如果值不在指定范围内则将其更改为默认值,因此无法再将 payload 带入。

SQL注入漏洞复现(CVE-2017-8917
m0_56578216的博客
08-30 948
前提条件:1.Docker Compose是 docker 提供的一个命令行工具,用来定义和运行由多个容器组成的应用,而docker-compose.yml是它的配置文件。
CVE 2017-8917 Joomla3.7 Core com_fields组件sql注入漏洞复现
BROTHERYY的博客
10-19 2610
1. 漏洞描述 漏洞编号: CVE-2017-8917 危害等级:危急 漏洞简述:本漏洞出现在3.7.0新引入的一个组件“com_fields”,这个组件任何人都可以访问,无需登陆验证。由于对请求数据过滤不严导致sql注入,sql注入对导致数据库中的敏感信息泄漏。 影响版本: Joomla!3.7.0 Core 2. 漏洞介绍 这个漏洞出现在3.7.0新引入的一个组件“com_fields”,这个组件任何人都可以访问,无需登陆验证。由于对请求数据过滤不严导致sql 注入,sql注入对导致数据库中的敏感信息泄
Joomla 3.7.0 SQL注入漏洞 CVE-2017-8917
weixin_51387754的博客
12-01 1195
漏洞简介 com_fields组件出现漏洞,com_fields组件是在3.7版本添加的,如果你使用此版本,将受到影响,并应尽快更新。这个组件可以公开访问,意味着任何能访问你站点的用户都可以发起攻击 漏洞复现 (root????guiltyfet)-[/home/guiltyfet/vulhub/joomla] └─# cd CVE-2017-8917 ┌──(root????guiltyfet)-[/home/guiltyfet/vulhub/joomla/CVE-2017-8917] └─# dock
Joomla SQL注入漏洞(CVE-2017-8917)
weixin_45630387的博客
03-18 932
根据vulhub文档直接访问http://your-ip:8080/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1),即可看到SQL报错信息。参考vulhub中文文档:https://github.com/vulhub/vulhub/blob/master/joomla/CVE-2017-8917/README.zh-cn.md。
Joomla! v3.7 SQL注入高危漏洞技术分析(CVE-2017-8917
weixin_33882452的博客
09-19 806
本文讲的是Joomla! v3.7 SQL注入高危漏洞技术分析(CVE-2017-8917),近日,全球知名内容管理系统Joomla!爆出高危安全漏洞,任何能访问网站的用户都可以发起攻击,窃取用户会话和账号密码。 安全风险:严重 漏洞类型:SQL注入 影响版本:3.7 修复版本:3.7.1 CVE编号:CVE-2017-8917 漏洞描述 com_...
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
最新发布
07-06
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
Joomla 3.7.0 (CVE-2017-8917) 漏洞测试
sun1296825481的博客
12-11 3094
Joomla 3.7.0 (CVE-2017-8917) 漏洞测试 本漏洞测试使用的是虚拟机Ubuntu 18.04 LTS 一、环境搭建 1、docker的安装 .更新apt包索引 sudo apt-get update .安装以下包以使apt可以通过HTTPS使用存储库(repository) sudo apt-get install -y apt-transport-http...
CVE-2017-8917代码分析个人理解
qq_43717836的博客
04-29 1452
0x00 这两天正好在网上看到看到了关于2017一个Joomla的漏洞,所以就尝试跟着做了一下,感觉还是有些云里雾里的,特此梳理。小白一个,请大佬们多多指教,欢迎交流 0x01 前提,下载Joomla!3.7.0版本(我已经上传到了自己博客里面,可免费下载),应该随便一个版本都可以,这里是直接安装的企业什么什么版(我不记得了),然后,跟着安装就是了 本文,是直接将cms安装到www的路径下的,ww...
Joomla 3.7.0 SQL注入漏洞 CVE-2017-8917 漏洞复现
ADummy的博客
03-03 925
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境 by ADummy 0x00利用路线 ​ url注入 0x01漏洞介绍 ​ 漏洞是由此Joomla 3.7.0 版本中引入的新组件(com_fields)带来的 0x02漏洞复现 安装joomla, 数据库地址:mysql:3306 用户:root 密码:root 数据库名:joomla 填入上述信息,正常安装即可。 ...
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞复现
weixin_42786460的博客
09-01 2214
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞复现
CVE-2017-3599poc
07-27
CVE-2017-3599,Unspecified vulnerability in the Oracle Document Capture component in Oracle Fusion Middleware 10.1.3.4 and 10.1.3.5 allows remote attackers to affect integrity and availability via unknown vectors related to Import Server. NOTE: the previous information was obtained from the January 2011 CPU. Oracle has not commented on claims from the original researcher that remote attackers can overwrite arbitrary files and execute arbitrary code via a full pathname in the first argument to the WriteJPG method in the NCSECWLib ActiveX control.
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞
huayimy的博客
12-30 1299
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞,com_fields组件,启动docker,安装mysql数据库
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-16509)
黑白的博客
12-22 1378
声明 好好学习,天天向上 漏洞描述 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞 GhostScript 被许多图片处理库所使用,如 ImageMagick、Python PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。 影响范围 Ghostscript 9.24之前版本 复现过程 这里使用7.0.8版本 使
CVE-2017-12615(远程代码执行漏洞)
Biu_Biu_Bi的博客
04-07 4578
当 Tomcat 运行在 Windows 操作系统时,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。2、使用burpsuite抓包,修改GET为PUT上传方式,添加文件名1.jsp/,添加shell脚本。1、使用冰蝎v4.05生成jsp脚本。5、打开ip:8080,成功开启。4、测试成功上传Shell。
mysql漏洞2017,Joomla! 3.7 Core SQL 注入 (CVE-2017-8917)漏洞分析
weixin_39685024的博客
03-18 436
Author: p0wd3r (知道创宇404安全实验室)Date: 2017-05-180x00 漏洞概述漏洞简介漏洞影响未授权状态下SQL注入影响版本: 3.7.00x01 漏洞复现Joomla 在 3.7.0 中新增了一个 com_field组件,其控制器的构造函数如下,在components/com_fields/controller.php中:可以看到当访问的view是fields,la...
CVE-2017-8464(远程执行命令)漏洞
qq_54735393的博客
03-07 442
攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。当用户在Windows资源管理器或解析.LNK文件的任何其他应用程序中打开此驱动器(或远程共享)时,恶意二进制程序将在目标系统上执行攻击者选择的代码,成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。
CVE-2017-8759 漏洞利用示例代码分析
CVE-2017-8759是一个被公开报道的安全漏洞,属于CVE(Common Vulnerabilities and Exposures,通用漏洞披露)编号系统中的一员。编号系统旨在为计算机安全问题提供一个唯一的标识符,以便于识别和追踪已知的漏洞。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值