Esta vulnerabilidad esta confirmada en la version 1.5.8 pero otras vesiones tambien podrian ser vulnerables, esto sucede por la entrada de la cabecera http «X_CMS_LIBRARY_PATH» manipulando «plugins/editors/xstandard/attachmentlibrary.php» y no verifica adecuadamente antes de ser utilizado. Esto puede ser explotado para mostrar contenido de un directorio arbitrario a través de ataques transversales de directorio o bien dicho de otra forma podemos ver archivos y directorios del servidor en donde esta alojado este sitio web.
Lo primero que se tiene que hacer es escanear un sitio web realizado en joomla, esto lo podemos hacer con el joomscan la cual la pueden descargar de esta direccion:
http://sourceforge.net/projects/joomscan/, una ves descargada nos dirigimos a esta carpeta con una consola ya sea en windows o en linux asta llegar en la carpeta donde se encuentra el joomscan.pl (se necesita tener instalado perl).
Para utilizar esta herramienta como muchas otras puden obtener la ayuda colocando joomscan.pl -h
Para realizar el escaneo se hace de la siguiente forma «joomscan.pl -pv -u victima.com» y empezara a escanear el website.
Para saber si es vulnerable a esta tecnica debe de aparecer el siguiente mensaje:
En donde nos esta diciendo que si es vulnerable, nos dice la ruta de la pagina php vulnerable y nos dice asta la forma de explotar esta vulnerabilidad.
Bueno para explotar esta vulnerabilidad se requiere de otra herramienta llamada modify headers es un complemento de firefox lo pueden descargar facilmente esta herramienta sirve para agregar, modificar o filtrar cabeceras http, entonces nos dirigimos en el navegador a la ruta que dice en «check:» y en realidad nos aparecera el contenido de un xml:
Despues abrimos modify headers y lo que se va hacer
es agregar una cabecera llamada «X_CMS_LIBRARY_PATH» con el valor «../» y nos va ir mostrando los directorios y archivos almacenados en el servidor:
http://www.imagechicken.com/uploads/1260602653052523600.jpg
si quieren seguir subiendo pueden ir agregando en el valor «../../» y de esta forma se puede ir navegando en el server, tambien se podria ver el archivo «../../../etc/passwd» el numero de «../» depende de la estructura del server y si se encuentra passwd XD.
Como puden ver esta tecnica es algo laboriosa y se necesita tener conocimientos de como utilizar exploits o herramientas por medio de la consola y conocimientos de cabeceras http, pero pues no deja de ser otra opcion de kakear xD servidores web.
En este caso se realizo con el sitio web www.urbeconomica.com y pueden practicar con ese.
Asta la proxima.
Cualquier duda, sugerencia, reclamo o comentario favor escribirlo.
by Cr4fT1g4C
