Весь код Joomla 3.5.1 смотреть лень, поэтому спрашиваю может кто URL path хотя бы подскажет для инъекции?
Нагуглить конкретику не удалось, только одни намёки "оно там есть"
Нагуглить конкретику не удалось, только одни намёки "оно там есть"
-
XSS.stack #1 – первый литературный журнал от юзеров форума
CVE-2022-23797 SQLi в Joomla 3.5.1 - никак не найду подробности, кто нибудь эксплуатировал?
- Автор темы zdestuta
- Дата начала
как именно ты нашёл уязвимость?Весь код Joomla 3.5.1 смотреть лень, поэтому спрашиваю может кто URL path хотя бы подскажет для инъекции?
Нагуглить конкретику не удалось, только одни намёки "оно там есть"
Joomscan, cve по версии.
Ну, CVE-2022-23797 — тема интересная, но инфы по этому конкретному случаю реально маловато. Это одна из тех уязвимостей, где вроде бы известно, что она есть, но конкретные детали о том, как именно её эксплуатировать, особо не светятся. В Joomla версии 3.5.1 баг с SQL-инъекцией подтвержден, но из-за того, что это довольно старая версия, многие уже либо обновились, либо закрыли доступные векторы атаки.Весь код Joomla 3.5.1 смотреть лень, поэтому спрашиваю может кто URL path хотя бы подскажет для инъекции?
Нагуглить конкретику не удалось, только одни намёки "оно там есть"
По поводу URL path — если тебе лень ковырять весь код (что, кстати, понимаю), то могу сказать, что обычно в таких версиях Joomla дырки связаны с компонентами или расширениями, которые плохо фильтруют входные данные. Попробуй пробить стандартные точки входа типа `/index.php?option=com_content`, или через поисковый параметр, это классика жанра.
Если нагуглить не удалось, возможно, эту инфу просто никто особо и не публиковал, либо народ держит её под прикрытием, чтобы не палить эксплойты публично. В таких случаях можно или руками искать, или ждать, пока кто-то на гитхабе выложит PoC.
Кажется, я не тебя спросил
И? Мы работаем вместе. Я лично тоже задаюсь данным вопросом.Кажется, я не тебя спросил
работать, работаем, но всё же я спросил его, а не тебя(лан, проехали, не будем срач устраивать)
а вообще попробуй сайт просканить сканнерами(Acunetix, NetSparker etc.), авось найдётся что(сразу с пейлодом кстати)Весь код Joomla 3.5.1 смотреть лень, поэтому спрашиваю может кто URL path хотя бы подскажет для инъекции?
Нагуглить конкретику не удалось, только одни намёки "оно там есть"
Так весь код смотреть не надо
4.1.1 & 3.10.7
Это секьюрити релизы после даннои уязвимости. Судя по описанию версии там только пофиксили уязвимости
Наиди фаилы с изменениями относительно предыдущих их не много будет
4.1.1 & 3.10.7
Это секьюрити релизы после даннои уязвимости. Судя по описанию версии там только пофиксили уязвимости
Наиди фаилы с изменениями относительно предыдущих их не много будет
Всякое было найдено.
/index.php?option=com_users&view=registration
/components/com_ajax/
/components/com_phocadownload/
/components/com_phocagallery/
/index.php?option=com_users&view=registration
/components/com_ajax/
/components/com_phocadownload/
/components/com_phocagallery/
- /joomla/administrator/
- /administrator/
- /bin/
- /cache/
- h/cli/
- /components/
- /includes/
- /installation/
- /language/
- /layouts/
- /libraries/
- /logs/
- /modules/
- /plugins
- /tmp/
Я думаю можно да - попробовать окунем пройтись, ну и если там ничего не будет, зайти уже с другой стороны.
Пока я лично вижу только такой выход, нигде exploit'ов на данное месиво найдено не было.
Пока я лично вижу только такой выход, нигде exploit'ов на данное месиво найдено не было.
Hi there
Im not good on exploiting Webapp vulnerabilities or source code audit
but i hope this post help someone to deep analysis
these are changed file between patched and unpatched versions
based on CVSS score, 9.8, i think we can omit search on file that is related to admin
tar.php and zip.php changes also refer to another patched vulnerability (zipslip)
based on the advisory, we can also omit searching on files related to mail providers, or ldaps. the advisory of the vuln describe the bug lay on Ids not sanitized.maybe its better to search on the file that related to components of joomla , com_*
as i say im not an expert on this field, also dont have enough time for trial and test. hope this help for easier further analysis
have nice day
----------------------------------------------------------------------------------------------
Edit :
Based on rapid review of changes , maybe you can found something special about this vuln on this file :
if you track in this file we can see this change :
Unpatched version :
Patched Version :
as you can spot the difference , in the patched version of joomla , author provide format('Y-m-d H:00:00') for the date that user provide
so what CVE describe , SQL injection vulnerability maybe arise from here
Im not good on exploiting Webapp vulnerabilities or source code audit
but i hope this post help someone to deep analysis
these are changed file between patched and unpatched versions
Код:
script.php 123213 12/2/2022 8:36 PM 29/3/2022 5:49 PM 123435 script.php
/administrator/components/com_admin/views/profile/tmpl/
edit.php 4248 12/2/2022 8:36 PM 29/3/2022 5:49 PM 4280 edit.php
/administrator/components/com_associations/controllers/
associations.php 3256 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3345 associations.php
/administrator/components/com_banners/controllers/
banners.php 2399 2/12/2022 8:36 PM 3/29/2022 5:49 PM 2487 banners.php
/administrator/components/com_cache/
controller.php 3966 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3975 controller.php
/administrator/components/com_categories/controllers/
categories.php 4036 12/2/2022 8:36 PM 3/29/2022 5:49 PM 3983 categories.php
/administrator/components/com_checkin/
controller.php 2117 2/12/2022 8:36 PM 3/29/2022 5:49 PM 2126 controller.php
/administrator/components/com_contact/controllers/
contacts.php 2559 2/12/2022 8:36 PM 3/29/2022 5:49 PM 2703 contacts.php
/administrator/components/com_content/controllers/
articles.php 2979 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3123 articles.php
featured.php 2115 12/2/2022 8:36 PM 29/3/2022 5:49 PM 2238 featured.php
/administrator/components/com_contenthistory/controllers/
history.php 3098 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3027 history.php
/administrator/components/com_installer/controllers/
manage.php 2903 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3176 manage.php
update.php 4835 2/12/2022 8:36 PM 3/29/2022 5:49 PM 4839 update.php
updatesites.php 2867 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3043 updatesites.php
/administrator/components/com_languages/controllers/
installed.php 2560 2/12/2022 8:36 PM 3/29/2022 5:49 PM 2597 installed.php
languages.php 1594 2/12/2022 8:36 PM 3/29/2022 5:49 PM 1660 languages.php
override.php 6109 2/12/2022 8:36 PM 3/29/2022 5:49 PM 6118 override.php
overrides.php 1705 2/12/2022 8:36 PM 3/29/2022 5:49 PM 1773 overrides.php
/administrator/components/com_menus/controllers/
items.php 7016 2/12/2022 8:36 PM 3/29/2022 5:49 PM 7033 items.php
menu.php 6069 2/12/2022 8:36 PM 3/29/2022 5:49 PM 6411 menu.php
menus.php 5108 2/12/2022 8:36 PM 3/29/2022 5:49 PM 5064 menus.php
/administrator/components/com_modules/controllers/
modules.php 1603 2/12/2022 8:36 PM 3/29/2022 5:49 PM 1617 modules.php
/administrator/components/com_privacy/controllers/
consents.php 2060 2/12/2022 8:36 PM 3/29/2022 5:49 PM 2170 consents.php
/administrator/components/com_redirect/controllers/
links.php 4454 2/12/2022 8:36 PM 3/29/2022 5:49 PM 4511 links.php
/administrator/components/com_templates/controllers/
styles.php 3074 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3182 styles.php
/administrator/components/com_users/controllers/
level.php 3113 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3125 level.php
users.php 3063 2/12/2022 8:36 PM 3/29/2022 5:49 PM 3239 users.php
/administrator/components/com_users/models/
user.php 33883 2/12/2022 8:36 PM 3/29/2022 5:49 PM 34026 user.php
/administrator/components/com_users/models/fields/
3/29/2022 5:49 PM 1432 primaryauthproviders.php
/components/com_banners/models/
banner.php 4169 12/2/2022 8:36 PM 29/3/2022 5:49 PM 4241 banner.php
banners.php 8720 2/12/2022 8:36 PM 3/29/2022 5:49 PM 8792 banners.php
/components/com_tags/models/
tag.php 8898 2/12/2022 8:36 PM 3/29/2022 5:49 PM 8976 tag.php
/components/com_tags/views/tag/
view.feed.php 2528 2/12/2022 8:36 PM 3/29/2022 5:49 PM 2560 view.feed.php
/components/com_users/models/
profile.php 11372 2/12/2022 8:36 PM 3/29/2022 5:49 PM 11515 profile.php
registration.php 18231 2/12/2022 8:36 PM 3/29/2022 5:49 PM 18463 registration.php
/components/com_users/views/profile/tmpl/
edit.php 5620 2/12/2022 8:36 PM 3/29/2022 5:49 PM 5652 edit.php
/installation/controller/install/
languages.php 1795 2/12/2022 8:36 PM 3/29/2022 5:49 PM 1848 languages.php
/libraries/joomla/archive/
tar.php 6325 2/12/2022 8:36 PM 3/29/2022 5:49 PM 6724 tar.php
/libraries/legacy/exception/
exception.php 8356 2/12/2022 8:36 PM 3/29/2022 5:49 PM 7783 exception.php
/libraries/src/
Version.php 7940 2/12/2022 8:36 PM 3/29/2022 5:49 PM 7937 Version.php
/libraries/src/Application/
CMSApplication.php 33608 2/12/2022 8:36 PM 3/29/2022 5:49 PM 33009 CMSApplication.php
/libraries/src/Authentication/
Authentication.php 7613 2/12/2022 8:36 PM 3/29/2022 5:49 PM 8190 Authentication.php
3/29/2022 5:49 PM 744 ProviderAwareAuthenticationPluginInterface.php
/libraries/src/Filesystem/
Folder.php 18815 2/12/2022 8:36 PM 3/29/2022 5:49 PM 18861 Folder.php
Patcher.php 11398 2/12/2022 8:36 PM 3/29/2022 5:49 PM 11534 Patcher.php
Path.php 8061 2/12/2022 8:36 PM 3/29/2022 5:49 PM 9072 Path.php
/libraries/src/Form/Field/
TagField.php 5687 2/12/2022 8:36 PM 3/29/2022 5:49 PM 5612 TagField.php
/libraries/src/Form/Rule/
3/29/2022 5:49 PM 2714 CssIdentifierSubstringRule.php
/libraries/src/Log/
LogEntry.php 2654 2/12/2022 8:36 PM 3/29/2022 5:49 PM 2909 LogEntry.php
/libraries/src/MVC/Controller/
AdminController.php 9228 2/12/2022 8:36 PM 3/29/2022 5:49 PM 9603 AdminController.php
FormController.php 25805 2/12/2022 8:36 PM 3/29/2022 5:49 PM 25899 FormController.php
/libraries/src/Table/
User.php 13218 2/12/2022 8:36 PM 3/29/2022 5:49 PM 14033 User.php
/libraries/src/Uri/
Uri.php 9320 2/12/2022 8:36 PM 3/29/2022 5:49 PM 9360 Uri.php
/libraries/src/User/
User.php 20868 2/12/2022 8:36 PM 3/29/2022 5:49 PM 21382 User.php
/libraries/vendor/composer/
installed.php 13771 2/12/2022 8:36 PM 3/29/2022 5:49 PM 13771 installed.php
/libraries/vendor/joomla/archive/src/
Archive.php 5665 2/12/2022 8:36 PM 3/29/2022 5:49 PM 5683 Archive.php
Tar.php 6282 2/12/2022 8:36 PM 3/29/2022 5:49 PM 6909 Tar.php
Zip.php 17202 2/12/2022 8:36 PM 3/29/2022 5:49 PM 17220 Zip.php
/libraries/vendor/joomla/filesystem/src/
File.php 6868 2/12/2022 8:36 PM 3/29/2022 5:49 PM 6927 File.php
Folder.php 14558 2/12/2022 8:36 PM 3/29/2022 5:49 PM 14702 Folder.php
Patcher.php 11569 2/12/2022 8:36 PM 3/29/2022 5:49 PM 11681 Patcher.php
Path.php 8219 2/12/2022 8:36 PM 3/29/2022 5:49 PM 9239 Path.php
Stream.php 33454 2/12/2022 8:36 PM 3/29/2022 5:49 PM 38216 Stream.php
/libraries/vendor/joomla/filesystem/src/Clients/
FtpClient.php 42083 2/12/2022 8:36 PM 3/29/2022 5:49 PM 42083 FtpClient.php
/libraries/vendor/joomla/filesystem/src/Exception/
FilesystemException.php 420 2/12/2022 8:36 PM 3/29/2022 5:49 PM 1019 FilesystemException.php
/libraries/vendor/joomla/filter/src/
InputFilter.php 29241 2/12/2022 8:36 PM 3/29/2022 5:49 PM 30480 InputFilter.php
/plugins/authentication/cookie/
cookie.php 11747 2/12/2022 8:36 PM 3/29/2022 5:49 PM 12217 cookie.php
/plugins/authentication/gmail/
gmail.php 6493 2/12/2022 8:36 PM 3/29/2022 5:49 PM 7004 gmail.php
/plugins/authentication/joomla/
joomla.php 6134 2/12/2022 8:36 PM 3/29/2022 5:49 PM 6582 joomla.php
/plugins/authentication/ldap/
ldap.php 5104 2/12/2022 8:36 PM 3/29/2022 5:49 PM 5559 ldap.php
/plugins/content/emailcloak/
emailcloak.php 17661 2/12/2022 8:36 PM 3/29/2022 5:49 PM 17661 emailcloak.php
/plugins/system/redirect/
redirect.php 9785 2/12/2022 8:36 PM 3/29/2022 5:49 PM 9765 redirect.php
/plugins/user/joomla/
joomla.php 10511 2/12/2022 8:36 PM 3/29/2022 5:49 PM 10695 joomla.phpbased on CVSS score, 9.8, i think we can omit search on file that is related to admin
tar.php and zip.php changes also refer to another patched vulnerability (zipslip)
based on the advisory, we can also omit searching on files related to mail providers, or ldaps. the advisory of the vuln describe the bug lay on Ids not sanitized.maybe its better to search on the file that related to components of joomla , com_*
as i say im not an expert on this field, also dont have enough time for trial and test. hope this help for easier further analysis
have nice day
----------------------------------------------------------------------------------------------
Edit :
Based on rapid review of changes , maybe you can found something special about this vuln on this file :
| /components/com_banners/models/ | ||||||
| banner.php | 4169 | 2/12/2022 8:36 PM | 3/29/2022 5:49 PM | 4241 | banner.php |
if you track in this file we can see this change :
Unpatched version :
PHP:
if ($trackClicks > 0)
{
$trackDate = JFactory::getDate()->toSql();
$query->clear()
->select($db->quoteName('count'))
->from('#__banner_tracks')
->where('track_type=2')
->where('banner_id=' . (int) $id)
->where('track_date=' . $db->quote($trackDate));
$db->setQuery($query);Patched Version :
PHP:
if ($trackClicks > 0)
{
$trackDate = JFactory::getDate()->format('Y-m-d H:00:00');
$trackDate = JFactory::getDate($trackDate)->toSql();
$query->clear()
->select($db->quoteName('count'))
->from('#__banner_tracks')
->where('track_type=2')
->where('banner_id=' . (int) $id)
->where('track_date=' . $db->quote($trackDate));
$db->setQuery($query);as you can spot the difference , in the patched version of joomla , author provide format('Y-m-d H:00:00') for the date that user provide
so what CVE describe , SQL injection vulnerability maybe arise from here
Последнее редактирование: