joomla漏洞出来这么久了，我也于当天在drops发表了这篇文章( http://drops.wooyun.org/papers/11330 )。今天再看，还是有点急促，有些原理上的东西没说清楚。

我在自己博客里，把这篇文章增加一些原理上的说明，发出来留个底稿。

漏洞点 —— 反序列化session

这个漏洞存在于反序列化session的过程中。

漏洞存在于 libraries/joomla/session/session.php 中，_validate函数，将ua和xff调用set方法设置到了session中（session.client.browser和session.client.forwarded）

<?phpprotected function _validate($restart = false)    {        ...        // Record proxy forwarded for in the session in case we need it later        if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))        {            $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);        }        ...        // Check for clients browser        if (in_array('fix_browser', $this->_security) && isset($_SERVER['HTTP_USER_AGENT']))        {            $browser = $this->get('session.client.browser');            if ($browser === null)            {                $this->set('session.client.browser', $_SERVER['HTTP_USER_AGENT']);            }            elseif ($_SERVER['HTTP_USER_AGENT'] !== $browser)            {                // @todo remove code: $this->_state = 'error';                // @todo remove code: return false;            }        } 

最终跟随他们俩进入数据库，session表：

正常情况下，不存在任何问题。因为我们控制的只是反序列化对象中的一个字符串，不会触发反序列相关的漏洞。

但是，因为一个小姿势，导致后面我们可以控制整个反序列化对象。

利用|字符伪造，控制整个反序列化字符串

首先，我们需要先看看@Ryat老师的pch-013： https://github.com/80vul/phpcodz/blob/master/research/pch-013.md

和pch-013中的情况类似，joomla也没有采用php自带的session处理机制，而是用多种方式（包括database、memcache等）自己编写了存储session的容器（storage）。

其存储格式为『键名 ＋ 竖线 ＋ 经过 serialize() 函数反序列处理的值』，其未正确处理多个竖线的情况。

那么，我们这里就可以通过注入一个|符号，将它前面的部分全部认为是name，而|后面我就可以插入任意serialize字符串，构造反序列化漏洞了。

但还有一个问题，在我们构造好的反序列化字符串后面，还有它原本的内容，必须要截断。而此处并不像SQL注入，还有注释符可用。

但不知各位是否还记得当年wordpress出过的一个XSS( http://www.leavesongs.com/HTML/wordpress-4-1-stored-xss.html )，当时就是在插入数据库的时候利用"