Latest posts for the topic "05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )"

05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

LM — GMT

1. Vào địa chỉ : target.com/index.php?option=com_user&view=reset&layout=confir m 2. Nhập kí tự ' vào. 3. Xong thì nhập password mới 4. Vào admin : target.com/administrator/ 5. Đăng nhập với password mới đó với user là admin. Sưu Tầm :)

05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

TheShinichi — GMT

LM wrote:

1. Vào địa chỉ : target.com/index.php?option=com_user&view=reset&layout=confir m 2. Nhập kí tự ' vào. 3. Xong thì nhập password mới 4. Vào admin : target.com/administrator/ 5. Đăng nhập với password mới đó với user là admin. Sưu Tầm :)

Mèn ơi ! Mấy site chưa fix lỗi bị "hác-cơ" oanh tạc te tua !!

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

anhsuytu — GMT

Bác LM có thể viết 1 bài phân tích được ko nhỉ? :)

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

AIO — GMT

http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

canh_nguyen — GMT

Phân tích lỗi xem tại : http://milw0rm.com/exploits/6234

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

mr.khungxox — GMT

Tại thời điểm này hình như người ta fix hết rồi . Em chỉ tìm thấy 1 ,2 trang bị mắc lỗi này thôi

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

gamma95 — GMT

Bác nào phân lại từng bước+ giải thích rõ được ko, em đọc trên milw0rm chẳng hiều gì. Thanks :D

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

hoahongtim — GMT

bác gamma95 được cái thích đùa :D, hix, anh em lại có dịp "mò" nữa rùi, kiểu này có khối anh bị thương, r57 có cơ hội oanh tạc :D

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

hackerbinhphuoc — GMT

Bản chất của lỗi này thật ra cũng là SQL Ịnection! http://hkp.com.vn/index.php?option=com_user&view=reset&layout=confirm dòng này được tạo ra khi điền email để forgot pasword và 1 Token đã gửi về mail, form này dùng để điền Token đó! Tuy nhiên lại phát sinh lỗi ở dòng: Code:

$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token));  <

nhiệm vụ của nó là liệt kê ra user có activation = cái token vừa nhập vào và cho phép đổi password mới. Vì vậy khi ta chèn kí tự ' vào thì lệnh nó sẽ trở thành: Code:

SELECT id FROM jos_users WHERE block = 0 AND activation = ''

nó lại đi liệt kê ra các user có activation là rỗng thay vì là user có activation phù hợp và theo nguyên tắc chỉ lấy 1 kết quả, nó sẽ lấy user có id nhỏ nhất và thường thì đó là tài khoản của admin! vì vậy dẫn tới việc password của admin bị reset! Cách khắc phục: - Nâng cấp phiên bản Joomla! mới nhất (1.5.6 hoặc mới hơn), hoặc sửa lỗi trong file /components/com_user/models/reset.php với đoạn mã sau: Sau global $mainframe; trên dòng 113 của file reset.php, thêm: Code:

if(strlen($token) != 32) {

       {

              $this->setError(JText::_('INVALID_TOKEN'));

              return false;

       }

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

flier_vn — GMT

uhm.. :D Kiểu như SQL Injection by pass vậy ! fix lỗi trên, theo mình nghĩ đơn giãn... : Code:

$db->setQuery("SELECT id FROM #__users WHERE block = 0 AND activation =".$db->Quote($token)."'");

là đủ rùi ! Mà nếu là sql injection thì sao ko thử : SELECT id FROM jos_users WHERE block = 0 AND activation = '' union select xxx from jos_uers where activation='' liệu có được ko nhĩ ?

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

ken_shin — GMT

hix tìm trên google thử mà đa số nâng cấp hết rùi còn lại bị hack hết tìm 1 site thực hành hơi khó

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

louisnguyen27 — GMT

Không phòng thủ kịp nên bị đánh te tua, cũng may là có backup ở host khác.... Hình như là joomla.org cũng bị đánh... Bản 1.5.6 vừa mới fix lỗi này xong.

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

gamma95 — GMT

hackerbinhphuoc wrote:

Bản chất của lỗi này thật ra cũng là SQL Ịnection! .................. - Nâng cấp phiên bản Joomla! mới nhất (1.5.6 hoặc mới hơn), hoặc sửa lỗi trong file /components/com_user/models/reset.php với đoạn mã sau: Sau global $mainframe; trên dòng 113 của file reset.php, thêm: Code:
if(strlen($token) != 32) {

       {

              $this->setError(JText::_('INVALID_TOKEN'));

              return false;

       }

Bản chất là SQL injection mà dùng hàm strlen để fix là sao nhể ? :D, nó ráng inject sao đó cho strlen($input_token)=32 thì .... :^)

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

anhsuytu — GMT

Mình mới test, vẫn còn nhiều trang bị mà :)

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

gamma95 — GMT

Bác nào nhận xét bug này bản chất là SQL injection là hoàn toàn sai. Ngay cả exploit trên milw0rm http://milw0rm.com/exploits/6234 , người publish khi phân tích cũng ko hiểu rõ vấn đề :D Các bác có để ý là thằng Joomla nó fixed kiểu Code:

if(strlen($token) != 32) {
 
        
               $this->setError(JText::_('INVALID_TOKEN'));
 
               return false;
 
        }

nghĩa là nó chỉ check chiều dài thôi ko?? Nếu bị SQL injection thì nó đâu có fixed kiểu stup!d như thế :D *Update: Các bác "hắc cờ" nào đi test mấy site chưa fixed sẽ thấy ko nhất thiết phải thêm nháy đơn vào mới khai thác được, mà chỉ cần input kí tự có dạng meta là được: vídu: !@#$%^&*() ..... Hoặc tổ hợp một chuỗi các kí tự meta một lúc. Thế nên cái cách giải thích của thằng đã publish exploit trên milw0rm Code:

{1} - Replace ' with empty char
{3} - If you enter ' in token field then query will be looks like : "SELECT id FROM jos_users WHERE block = 0 AND activation = '' "

là rất mơ hồ, vì nó cũng ko hiểu vấn đề. PS: Các bác debug biến $token bằng cách

if(strlen($token) != 32) { { echo $token;//tui thêm vào exit(1);//tui thêm vào $this->setError(JText::_('INVALID_TOKEN')); return false; }

chạy vào test thử với các input là các kí tự meta, meta trộn lẫn chuỗi thường ...etc sẽ hiểu

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

hackerbinhphuoc — GMT

hehe nhờ anh gamma95 giải thích em mới hiểu! lúc đầu khi chưa biết về cái token thì em là SQL Injection nhưng sau xem lại thì đúng là ko phải thật!

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

mt37vn — GMT

có phải cái chỗ $token = JRequest::getVar('token', null, 'post', 'alnum'); là thay tất cả các ký tự đặc biệt bằng ký tự trắng không. Nếu vậy thì mình kiểm tra strlen($token)==0 cũng được nhỉ

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

haian82 — GMT

hay quá, em fix ngay

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

alexnguyen — GMT

cái này chỉ dành cho J nào cho đăng ký mem phải không ạ? Nếu site đóng chỉ để cung cấp thông tin thì em vào nó chỉ nói Chào mừng! Chào mừng bạn tới khu vực người dùng trên site của chúng tôi

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

louisnguyen27 — GMT

alexnguyen wrote:

cái này chỉ dành cho J nào cho đăng ký mem phải không ạ? Nếu site đóng chỉ để cung cấp thông tin thì em vào nó chỉ nói Chào mừng! Chào mừng bạn tới khu vực người dùng trên site của chúng tôi

Đọc kỹ các bài viết và đường dẫn ở trên. Người ta đã fixx hết rồi đừng cố gắng xâm nhập làm gì.

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

lequi — GMT

nhìu site vẫn bị đó chứ. Nhưng cho em hỏi, reset pass xong rồi. Lỡ user admin của nó ko phải là admin thì sao nhỉ ?

Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change )

louisnguyen27 — GMT

lequi wrote:

nhìu site vẫn bị đó chứ. Nhưng cho em hỏi, reset pass xong rồi. Lỡ user admin của nó ko phải là admin thì sao nhỉ ?

Thì đi tìm tên user admin là cái gì???