GUA BSICA PARA HACKEAR

PAGINAS WEB CON JOOMLA 2.5

Alumno: Anthony Hurtado Rayme

Codigo: 071118
Herramientas: BACKTRACK 5

METODO 1 HACK CON BACKTRACK 5 R3

Esta versin al igual que las inferiores, posee una vulnerabilidad bastante
importante por no decir exagerada. Pero antes de nada veamos como
descubrir mas puntos flacos de nuestro objetivo.

Decir que vamos a usar nuestro maravilloso Backtrack 5 R3, que como ya
sabis, est armado hasta los dientes con multitud de utilidades para nuestros
peculiares test.
El mdulo a utilizar se llama joomscan. Primeramente, al igual que
deberamos hacer con el Metasploit cada vez que lo iniciemos, deberemos
actualizar nuestro mdulo con el comando:
./joomscan update
Seguidamente a su correcta actualizacin, tenemos que entrar en la ruta que
mostramos a continuacin:

Una vez dentro de la ruta anterior, procedemos a insertar el comando que

muestra la imagen:

Lo que hacemos con este comando es iniciar el joomscan, con la opcin -u le

decimos que direccin externa o local queremos analizar, y con el -oh nos saca
un informe en formato .xml
Veremos algo parecido a esto:

El proceso comenzar, mostrando las famosas letras blancas sobre fondo

negro, y dandonos sensacin de que al menos, algo funciona.
Terminado el escaner de joomscan, vamos a desplazarnos a la ruta
/pentest/web/joomscan/report donde encontraremos nuestro reporte en .xml.
Nos aparecer como la siguiente captura, dependiendo la versin de Joomla! y
de lo vulnerable que sea (obviamente).

Pues ah tenemos muchas vulnerabilidades, nosotros aprovecharemos la ms

escandalosa por decirlo de alguna manera, la nmero 16. Joomla Remote
Admin Password Change Vulnerability.
En nuestro reporte incluso nos pone como poder explotar esta bug.
Concretamente

dice

que

debemos

pegar

la

direccin

/index.php?

option=com_user&view=reset&layout=confirm justamente detras del sitio web.

Es decir, si nuestro sitio es www.misitiojoomla.com quedara as:

www.misitiojoomla.com/index.php?
option=com_user&view=reset&layout=confirm
Una vez completada dicha ruta, pulsamos enter y obtendremos lo siguiente:

En el cuadrito de texto, basta con poner una comilla como esta << >> y darle a
enviar. Automticamente nos redirigir a la siguiente pgina:

Metemos una clave elegida por nosotros, y acabamos de resetar la cuenta

admin con la clave que queramos. A partir de ah el usuario atacante puede
hacer lo que le de la gana con nuestro sitio. Literalmente.
Por tanto, esto nos muestra una vez ms la necesidad imperiosa de actualizar.
Y no solo tener fixeados todos los fallos de nuestras aplicaciones sean del tipo
que sean, sino de advertirnos a tiempo de que cuentas como admin es lo
primero a lo que se le hecha la caa.

METODO 2 HACK SIN BACKTRACK

Esta vulnerabilidad de joomla nos permite escalar privilegios durante el registro
de un usuario nuevo, para la versiones 1.6.x/1.7.x no se han emitido ningn
parche hasta el momento y las versiones 1.0.x/1.5.x/2.5.3+ no son vulnerables.
pero para nuestro consuelo la v. 1.5.x (que no este parcheada) de joomla tiene
el bug archiconocido del Token , que puedes cambiar el pass del admin, bueno
eso es otro tema.

Centrmonos en lo nuestro y Explotamos esta vulnerabilidad xD! que muchas

web que usan joomla las tienen. El bug consiste en crearnos un usuario nuevo,
pero antes de eso debemos agregar un parmetro mas al formulario del
registro, pueden usar Firebug (Addon For Firefox), bueno busquemos un
potencial y latente web joomla.

Dork:: inurl:/index.php?option=com_users&view=registration
Exploit

Code

For

use

with

Firebug::

<input

value="7"

name="jform[groups][]" />

Aqui tenemos una web joomla y veamos su codigo fuente, para tal ves poder
saber que versin es.

He borrado el dominio de esa web, pero pueden sacarlo con solo mirar el logo
xD! , bueno notamos que al mirar el cdigo fuente nos sale el tag META
"Joomla! - Open Source Content Management" lo cual no nos indica que
versin es, pero posiblemente ese joomla sea una version casi actual o actual,
lo digo por la frase que esta marcada, pero no lo garantizo por que eso se
puede borrar o cambiar fcilmente, pero si quieren saber que probable versin
puede ser, usen el programa CMSEXPLORER que viene incluida en las
distribuciones de Backtrack. Ahora tratemos de crear un usuario, tenemos que

buscar el componente de usuarios para poder registrarnos, escriban en el

navegador:

www.site-joomla.com/index.php?option=com_users&view=registration

Como vern yo llene los formularios con mis datos y apropsito erre a la ahora
de escribir mi password, hice esto para que a la hora de registrarme envi el
parmetro (que luego inyectaremos) que se quedara grabado en la session de
nuestro registro, y pongan un correo existente ya que al final de registro te
mandan un link de confirmacin, ahora falta inyectar nuestro parmetro en el
formulario

de

registro

para

as

explotar

la

dichosa

vulnerabilidad.

Presionen F12 para abrir el Firebug y luego desarrollen los pasos de la

imagen, y ahora nos queda poner nuestro pequeo codigo que esta casi al
inicio de este post.

Si se dan cuenta el cdigo esta entre los tags "<dd></dd>", es por que esta
versin de joomla usan esos tipos de etiquetas, pues tal ves encuentren un
joomla sin esos tags, en ese caso tienen que ver como es su estructura y
acoplarse a ello, para evitar fracasos xD!, respecto al codigo, si se dan cuenta
el "value=7", eso nos indica que vamos estar en el grupo de Administradores y
no el grupo de Super Usuarios que es el valor 8.

Bueno presionamos F12 o minimizamos el firebug por que ya no lo vamos usar,

y hacemos los pasos de la imagen.

Luego de registrarnos nos sale un mensaje que dice que verifiquemos y

confirmemos el registro en nuestro email proporcionado, y si no lo encuentran
revizenlo en la zona de correos Spam.

Despus de confirmar el registro accedemos al panel de administracionde

joomla
www.site-joomla.com/administrator y nos logueamos.

Come vemos en la imagen la version del joomla es 2.5.1 , bueno casi actual
como dijimos en el principio y tambin podremos ver nuestro usuario que es
administrador xD! , ahora queda subir nuestra shell.