Joomla 3.8.6 SQLi vulnerability User Notes 分析

写点PoC玩 Orz

3月13日更新的 joomla 3.8.6 修复了一个 sqli , 影响版本从3.5.0到3.8.5

漏洞描述:

diff:

administrator/components/com_users/models/notes.php

显而易见, 没有 int 进行强制类型转换造成的 id 处注入, 漏洞描述也很明显的指出了漏洞触发的位置, 在查看 user notes 的时候用 category 过滤的时候, category_id 会存在注入

定位到 notes list view 的位置

用 burp 查看注入点

 

用容易判别的时间盲注判断是否存在注入, 发现返回时间有很大差别, 所以这里显然有注入, 同时易发现存在布尔盲注, diff 一下可以发现判断条件是查询一个有数据的 note 是否返回 No Matching Results, 因为没有任何过滤, payload用简单的 1=1 就可以

poc: