sexta-feira, 4 de março de 2016

Publicado sexta-feira, março 04, 2016 por com 0 comentário

Descobrir vulnerabilidades em sites Joomla

Nesse tutorial vamos usar o joomscan, que é uma ferramenta feita em perl para verificar vulnerabilidades em sites Joomla. Ao fazer o scan, ele mostra qual a vulnerabilidade e qual o exploit deve ser usado para explorá-la.

Esse tutorial direcionado para usuários windows. Primeiramente, baixe o programa aqui Joomscan.pl

Lembrando que devemos ter instalado Perl para poder rodar o joomscan. Se quiser, pode entrar no site oficial https://www.perl.org/get.html

Depois disso só usar com o seguinte comando:

joomscan.pl -u <string> -x proxy:port

Muito usuários reclamam desse erro:
joomscan.pl check
Can't locate Switch.pm in @INC (you may need to install the Switch module) (@INC contains: C:/Perl/site/lib C:/Perl/lib .) at C:\Users\cliente\Desktop\Joomla\joomscan.pl line 22.
BEGIN failed--compilation aborted at C:\Users\cliente\Desktop\Joomla\joomscan.pl line 22.

Para resolver o problema, abrimos o CMD e executamos os seguintes comandos:

cpan

install local::lib


install App:cpanminus

exit

cpanm

cpanm install -f Switch

joomscan.pl -u <string> -x proxy:port


E depois disso, basta olha as vulnerabilidades


Outras opções são listadas abaixo:

joomscan.pl -u <string> -x proxy:port
        -u <string>      = joomla Url
        
        ==Optional==
        -x <string:int>  = proXy to tunnel
        -c <string>      = cookie (name=value;)
        -g "<string>"   = desired useraGent string within "
        -nv              = No Version fingerprinting check
        -nf              = No Firewall detection check
        -nvf/-nfv        = No version+firewall check
        -pe              = Poking version only
                           (and Exit the scanner)
        -ot              = Output to Text file (target-joexploit.txt)
        -oh              = Output to Html file (target-joexploit.htm)
        -vu              = Verbose (output every Url scan)
        -sp              = Show completed Percentage

      edit

0 comentários:

Postar um comentário

Assinar: Postar comentários (Atom)