Premessa doveresa: Io non mi assumo nessuna responsabilità per l uso scorretto che farete di queste informazioni se leggete mi autorizzate a divulgarle.Io ritengo che informare gli altri nn sia reato ma l uso che ne facciamo individualmente a renderlo tale...Inoltre non mi limito a descrivere la tecnica (tra l altro da lamer) per defacciare un sito nn patchato in Joomla MA fornisco una soluzione ed una guida con cui correre ai ripari ...Detto questo io comincerei
*************************************************************************
Oggi leggo dell uscita del nuovo 0-days exploit e subito voglio provarlo. Gli 0-days exploit sono degli exploit di recente se nn imminente uscita per defacciare sito questo in particolare si basava sulle versioni di Joomla dalla 1.5.x fino alla 1.5.5
Teoria dell exploit : Il difetto risiede nel modulo reset.php che permette un reeset delle credenziali amministrative semplicemente mandandolo in crash con un carattere speciale.
MOdulo in cui c è l erorre ----->
File : /components/com_user/controller.phpFile : /components/com_user/models/reset.php
Il codice viene omesso per brevita lo trovate su
MIlworm.com
Come si attacca:
Chi aci attacca inserisce nel nostro sito in Joomla la stringaindex.php?option=com_user&view=reset&layout=confirm
subito dopo il nome della nostar pagina web
Come trovano la Nostra pagina web?
Inserendo in Google la query : Powered by Joomla
Una volta individuata una pagina con la versione di
Joomla <= 1.5.5 inseriscono dopo l url del sito la query in alto e quando il risultato è questo in figura sotto dobbiamo cominciare a sudare freddo..
Dopo di che inseriscono nel campo codice il carattere '
( se il risulato della query restituisce l immagine in basso)
e se la versione non è stata fiXata otterranno questo risultato
Se l aggressore è uno di quei lamerotti imbecilli
potete dire addio al vostro lavoro.
Tutto ciò è possibile a causa di una cattiva
programmazione dei moduli suddetti e il server
di Joomla ci da accesso al sito con credenziali
amministrative.
A questo punto non resta loro che inserire un nuovo Nome utente
e password che diventa in automatico il NUovo Administrator ...
il sistema provvede ad inviare la richiesta di cambio pasword
all indirizzo email specifica dal vecchio admin.
Come Fixare l errore :Aprite il file reset.php
- Prima soluzione consiste nel passare all aversione 1.5.6 che corregge questo bug in automatico
- Seconda soluzione aggiornando due righe di codice nel modulo reset.php nel path /components/com_user/models/ come segue :
- Andate nella riga 113 aggiungete queste linee di codice:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}- Salvate e chiudete
- Il vostro sito è protetto dalla vulnerabilità Remote Admin Password Change.
Quì potete trovare la spiegazione ufficiale.
Fatto ciò siete al sicuro almeno per adesso :-)
Io ho dovuto testare il tutto su un sito sul quale non ho fatto danni ma ho altresi provveduto ad informare il webmaster (addirittura una ditta che sviluppa pagine web :) ) del pericolo che correvano vi posto il risultato della mia scorribanda(ovviamente evito di fare il nome del sito) e spero che i proprietari del sito nn me ne vorranno...P.s. Mi raccomando nn fate cazzate usate queste informazioni solo a scopo educativo nn fate lamerate e non rovinate il lavoro di altri !!!
giovedì 28 agosto 2008
Hackeriamo Joomla 1.5.x fino a 1.5.5
Iscriviti a:
Commenti sul post (Atom)
5 commenti:
sto facendo un sito per una attrice che ha l'accademia di spettacolo.. e siccome lo avevo iniziato molto tempo fa e per vari motivi abbiam lasciato in sospeso.. bhe', ho usato j15 e siccome a me non piace joomla, non sono andato a vedere tutti ibugs e la struttura varia..
quando ho visto che avevo questa vulnerabilita' ho aggiornato tutti tutti i bugs!! :D:D
Grazie della segnalazione!!! ;)
Ti ringrazio per la tua guida.
Magari è propro grazie alla tua guida che mi hanno buttato giu il mio sito in Joomla!
La prossima volta, invece di scrivere guide "how-to" segnala la questione al Team ufficiale di Joomla!.
Di sicuro avrai molti più riconoscimenti.
ma come si fa che non ho capito??
Non so se questo sito è ancora visitato, ma volevo dire all'autore di quest'ottimo sito pieno di info e curiosità, che oggi il mio sito con Joomla è stato hackerato in questo modo, nessun danno grave per fortuna, però non è altro che la dimistrazione di come la gente possa usare molto male ciò che gli si offre. Internet è un ottimo strumento, ma va usato bene. :)
"Ti ringrazio per la tua guida.
Magari è propro grazie alla tua guida che mi hanno buttato giu il mio sito in Joomla!
La prossima volta, invece di scrivere guide "how-to" segnala la questione al Team ufficiale di Joomla!.
Di sicuro avrai molti più riconoscimenti."
"Non so se questo sito è ancora visitato, ma volevo dire all'autore di quest'ottimo sito pieno di info e curiosità, che oggi il mio sito con Joomla è stato hackerato in questo modo, nessun danno grave per fortuna, però non è altro che la dimistrazione di come la gente possa usare molto male ciò che gli si offre. Internet è un ottimo strumento, ma va usato bene. :)"
Qui il problema è la vostra coglionezza, il bug è stato risolto 1 anno prima del primo messaggio e due anni prima del secondo messaggio, e venite a dire che è colpa di Hack for a Day? Se non siete in grado di mantenere aggiornato e sicuro un sito, lasciate perdere.
Posta un commento