欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Joomla! LDAP注入导致绕过登录认证的漏洞bugCVE-2017-14596

来源:本站整理 作者:佚名 时间:2017-09-21 TAG: 我要投稿

拥有超过8400万次的下载量,Joomla!是现今互联网上最流行的内容管理系统(CMS)之一。其承载了收集天下全体网站内容和文章的3.3%。利用代码阐发对象RIPS在login controller中检测到曩昔不曾发明的LDAP注入漏洞破绽bug。这一个漏洞破绽bug能够招致长途攻击者利用盲注技巧爆出超等用户的暗码,使其能够经由过程LDAP认证在短时间内接管Joomla!
漏洞破绽bug利用前提
装置如下版本的利用将会遭到该成绩的影响:
Joomla! 1.5
Joomla!设置装备摆设经由过程LDAP认证
该漏洞破绽bug不是由设置装备摆设缺点形成,攻击者不需要任何权限就能够利用此漏洞破绽bug。
漏洞破绽bug迫害
经由过程利用登录页面中的漏洞破绽bug,无权限的长途攻击者能够获得经由过程LDAP停止身份验证办事的Joomla!的认证凭据。这些认证凭据包含超等用户的用户名和暗码。而后,攻击者能够利用或获得的信息登录到管理员控制面板并经由过程上传自定义的Joomla!插件拿到Web办事的权限完成长途代码履行。
漏洞破绽bug阐发
起首,在LoginController中Joomla!从登录表单接管用户输出的用户认证凭据。
/administrator/components/com_login/controller.php
class LoginController extends JControllerLegacy
{
    public function login()
    {
        ⋮
        $app = JFactory::getApplication();
        ⋮
        $model = $this->getModel('login');
        $credentials = $model->getState('credentials');
        ⋮
        $app->login($credentials, array('action' => 'core.login.admin'));
    }
}
认证凭据传递给login办法,而后挪用authenticate办法。
/libraries/cms/application/cms.php
class JApplicationCms extends JApplicationWeb
{
    public function login($credentials, $options = array())
    {
        ⋮
        $authenticate = JAuthentication::getInstance();
        $authenticate->authenticate($credentials, $options);
    }
}
/libraries/joomla/authentication/authentication.php
class JAuthentication extends JObject
{
    public function authenticate($credentials, $options = array())
    {
    ⋮
        $plugin->onUserAuthenticate($credentials, $options, $response);
    }
}
基于用于认证的插件,authenticate办法将认证凭据传递给onUserAuthenticate办法。假如Joomla!被设置装备摆设为利用LDAP停止身份验证,LDAP插件的办法将会被挪用。
/plugins/authentication/ldap/ldap.php
class PlgAuthenticationLdap extends JPlugin
{
    public function onUserAuthenticate($credentials, $options, &$response)
    {
        ⋮
        $userdetails = $ldap->simple_search(
            str_replace(
                '[search]',
                $credentials['username'],
                $this->params->get('search_string')
            )
        );
    }
}
在LDAP插件中,用户名凭据嵌入到search_string选项中指定的LDAP查问中。依据民间Joomla!文档表现,search_string设置装备摆设选项是“用于搜刮用户的查问字符串,此中[search]由登录字段中的搜刮文本间接调换”,比方“uid = [search]”。而后将LDAP查问传递给连接到LDAP办事并履行ldap_search的LdapClient的simple_search办法。
/libraries/vendor/joomla/ldap/src/LdapClient.php
class LdapClient
{
    public function simple_search($search)
    {
        $results = explode(';', $search);
        foreach ($results as $key => $result)
        {
            $results[$key] = '(' . $result . ')';
        }
        return $this->search($results);
    }
    public function search(array $filters, ...)
    {
        foreach ($filters as $search_filter)
        {
            $search_result = @ldap_search($res, $dn, $search_filter, $attr);

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载