Strona 1 z 5 123 ... OstatniOstatni
Wyniki 1 do 10 z 50

Temat: Metodzie SQL Injection mówię: Spadaj na drzewo!

  1. #1
    Wyga Jola awatar
    Dołączył
    08-01-2008
    Skąd
    Wrocław
    Wpisy
    3 170
    Punkty
    378

    Domyślny Metodzie SQL Injection mówię: Spadaj na drzewo!

    Po zapoznaniu się z materiałem przygotowanym przez @trzepiza na temat możliwości "dobrania" się do hasła administratora Joomla, przygotowałam odpowiedź w postaci plugina.
    Ciekawski przy próbie przeczytania hasła spotyka się z właściwą odpowiedzią naszego "złośliwego" dodatku np. :"Spadaj na drzewo".
    Oczywiście jest to jedna z opcji. Można w konfiguracji wpisać fałszywe hasło, które zaszyfrowane metodą Joomla będzie udawało prawdziwe.
    Do wyboru jest również czyje hasła mają być ukrywane przy takiej próbie ataku: Super Administratorów, Wszystkich mających dostęp do panelu admina albo Wszystkich użytkowników.
    Przy dużej liczbie użytkowników, ukrywanie wszystkich haseł może być dużym obciążeniem dla szybkości działania witryny.
    Plugin podobnie potraktuje każdy kod, który będzie próbował wyświetlać hasła z tabeli jos_users (nazwa jos_users została podana przykładowo, niezależnie od użytego przedrostka - plugin będzie działał).
    Plugin został przetestowany przez @trzepiza w "trudnych" warunkach i spisał się dobrze. Załączam paczkę instalacyjną. Po zainstalowaniu - skonfigurować i włączyć.
    Testowanie może polegać na umieszczeniu w dowolnej części strony kodu, który będzie usiłował wyświetlać hasło.
    Zapraszam do testowania.
    Załączone pliki Załączone pliki
    Ostanio edytowane przez Jola : 22-12-2009 14:56 Powód: dodanie informacji, że plugin działa niezależnie od używanego przedrostka tabel

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Wyga trzepiz awatar
    Dołączył
    06-01-2006
    Skąd
    SH | SC
    Wpisy
    3 521
    Punkty
    252

    Domyślny

    Potwierdzam działanie pluginu.

    Dla niewtajemniczonych - ostatnio przygotowałem materiał pokazujący jak łatwo można poznać hasło Administratora korzystając z metody SQL Injection (wstrzyknięcie zapytania SQL powodujące wyświetlenie hasła)

    Zobacz materiał wideo

    Dzięki pracy jolaass - mogę z pełną świadomością stwierdzić, że w/w metoda jest bezskuteczna.


    PS: od pewnego czasu przygotowuję również pełną listę komponentów podatnych na ataki - po uruchomieniu mojej małej autorskiej witrynki będzie można sprawdzić jakich rozszerzeń warto unikać.

    Oczywiście w porozumieniu ze Zwiastunem postaram się opracować taką tabelę na wiki.joomla.pl

  4. #3
    Wiarus pyziak awatar
    Dołączył
    10-06-2008
    Skąd
    Białystok
    Wpisy
    2 598
    Punkty
    155

    Domyślny

    No pięknie, a czy można by było rozszerzyć dodatek o logowanie takich prób ataku oraz z jakiego IP było wykonane ?

  5. #4
    Wiarus Jdwind awatar
    Dołączył
    21-08-2007
    Skąd
    Stalowa Wola
    Wpisy
    1 691
    Punkty
    132

    Domyślny Re

    Jolu, super sprawa, jesteś nieoceniona. Tylko powiedzcie mi proszę, czy taki plugin nie powinien być standardowo w plikach instalacyjnych Joomla!, skoro przeprowadzenie takiego ataku jest tak proste, jak to przedstawił Trzepiz?
    wiki.joomla.pl - odpowiedzi na Twoje pytania!
    >> MIEJSCE NA TWOJĄ REKLAMĘ << - dokonaj dowolnej (min. 50zł) wpłaty na rzecz PCJ i skontaktuj się ze mną w celu odebrania gratulacji!

  6. #5
    Wyga Jola awatar
    Dołączył
    08-01-2008
    Skąd
    Wrocław
    Wpisy
    3 170
    Punkty
    378

    Domyślny

    Odpowiadam późno, bo nie miałam informacji o wpisach do tego wątku.
    Na prośbę @pyziaka zmodyfikowałam dodatek plgSpadaj.
    W konfiguracji można wybrać zapisywanie prób ataków do pliku tekstowego, trzeba wówczas podać nazwę i ścieżkę do pliku.
    Przy próbie wyświetlenia hasła zapisywana jest Data, IP, Referer (strona, na której użytkownik został przekierowany za pomocą odnośnika), Metoda (np. get), Przeglądarka i Połączenie.
    Modyfikacja poprzedniej wersji polega na nadpisaniu obydwu plików, wybraniu konfiguracji dodatku i zapisaniu.
    Załączone pliki Załączone pliki

  7. #6
    Wiarus pyziak awatar
    Dołączył
    10-06-2008
    Skąd
    Białystok
    Wpisy
    2 598
    Punkty
    155

    Domyślny

    @jolaass dziękuję za wdrożenie mojej sugestii. Wspaniała robota
    Pozdrawiam.

  8. #7
    Bywalec KejeN awatar
    Dołączył
    05-05-2009
    Skąd
    lubelskie - chwilo trwaj:)
    Wpisy
    484
    Punkty
    75

    Domyślny

    Ale super mega dobra rzecz. Dzięki jolaass, dzięki trzepiz!!
    Można by temat przykleić?

  9. #8
    Wyga Jola awatar
    Dołączył
    08-01-2008
    Skąd
    Wrocław
    Wpisy
    3 170
    Punkty
    378

    Domyślny

    Jeszcze jeden pomysł!
    Dla chętnych - po zapisaniu informacji do pliku - zapisanie również do Prywatnych wiadomości administratora (panel administratora).
    Dodany kod pogrubiony:
    if ($jest == 1 && $zapis){
    $dane = date("Y.m.d G:i")." IP: ".$_SERVER['REMOTE_ADDR']." Referer: ".$_SERVER['HTTP_REFERER']." Metoda ".$_SERVER['REQUEST_METHOD']." Agent ".$_SERVER['HTTP_USER_AGENT']." Connection: ".$_SERVER['HTTP_CONNECTION']."\n";
    $file = $plik;
    $fp = fopen($file, "a");
    flock($fp, 2);
    fwrite($fp, $dane);
    flock($fp, 3);
    fclose($fp);

    $sql = "insert into #__messages values(null, 62, 62, 0, now(), 0, 0, 'Atak SQL Injection','Próba przejęcia hasła')";
    $db->setQuery($sql);
    $db->query();

    }
    Druga wartość 62 to id administratora, który dostanie wiadomość.

  10. #9
    Wyga trzepiz awatar
    Dołączył
    06-01-2006
    Skąd
    SH | SC
    Wpisy
    3 521
    Punkty
    252

    Domyślny

    cóż mogę powiedzieć jak słów brak.?

    good job ...

  11. #10
    Senior PeFik awatar
    Dołączył
    18-02-2007
    Skąd
    Miasto Stu Mostów
    Wpisy
    5 461
    Punkty
    241
    Cytat Wysłane przez jolaass Zobacz wiadomość
    Druga wartość 62 to id administratora, który dostanie wiadomość.
    Super plugin. Mam jednak jedną sugestięę, otóż już na wielu blogach dot.bezpieczeństwa Joomla! sugeruje się, aby ów ID62 super admina zastąpić. Bo każde hack-dziecko wie kogo ma atakować.

    Rada w skrócie brzmi tak:
    a) załóż sobie konto super admina
    b) a konto o ID62 zmień na zwykłego zarejestrowanego.

    Jeszcze raz dzięki ;)
    Współautor bloga o systemie Joomla! -> blog.elimu.pl < oraz kilku książek i artykułów o tym CMS.

Strona 1 z 5 123 ... OstatniOstatni

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •