Publicaciones etiquetadas con: joomla

Auditando Servidores Web Joomla con Metasploit

Muchas veces cuando realizamos alguna Auditoria enfocada hacia Servidores Web, uno de los pasos mas importante que se debe realizar es Information Gathering (Recopilación de Información)  ya que esta es el paso más crítico de una prueba de seguridad de aplicaciones web que puede llevarse a cabo de muchas maneras diferentes, mediante el uso de herramientas públicas (motores de búsqueda), escáners, envío de simples peticiones HTTP o solicitudes especialmente diseñadas.

Cuando se Audita un Servidor Web Joomla, siempre es muy necesario obtener información exacta sobre que versión se encuentra instalada en el servidor, como también los Plugins instalados, esto nos ayudara mucho a determinar que Exploit debemos usar, o ver la manera exacta de explotar las vulnerabilidades, ya que una de las «mejores» formas de ingresar a un Joomla es mediante las vulnerabilidades que se encuentran en los Plugins.
Por ello, en esta entrada se mostraran los 3 módulos que se integran en Metasploit (Joomla Page ScannerJoomla Plugin Scanner y Joomla Version Scanner) que nos ayudaran mucho a realizar este paso tan importante en nuestras Auditorias.

En primer lugar, abrimos nuestro msfconsole y tecleamos search Joomla, esta nos mostrara los 3 módulos disponibles para Auditar servidores web Joomla.
Lo primera información que debemos obtener es la versión instalada en la aplicación  por ello utilizaremos el modulo Joomla Version, utilizando los siguiente comandos:

————————————————————————————————————-
use auxiliary/scanner/http/joomla_version
set RHOSTS http://www.sitio-web.com
run
————————————————————————————————————-

En este paso hemos obtenido la información exacta sobre la versión que esta corriendo en dicha aplicación web (Joomla Version: 2.5.0) , como tambien el S.O.
Seguidamente utilizaremos el modulo Joomla Pages, esta analizara las paginas instaladas en la aplicación web, para tal caso utilizaremos los siguientes comandos:

————————————————————————————————————-
use auxiliary/scanner/http/joomla_pages
set RHOSTS http://www.sitio-web.com
run
————————————————————————————————————-

En este paso solo se obtuvieron 3 resultados, como es el robots.txt que en la mayoría de Joomla se encuentran, y obviamente la pagina /administrator/ que nos permitirá ingresar al sistema con las credenciales correctas.
Y bueno en este ultimo modulo Joomla Plugins, obtendremos todos los Plugins instalados en la aplicación web, incluido con las vulnerabilidades de Sql Injection y LFI que se puedan encontrar en cada plugin.

————————————————————————————————————-
use auxiliary/scanner/http/joomla_plugins
set RHOSTS http://www.sitio-web.com
run
————————————————————————————————————-

Como se puede apreciar, se obtuvieron todos los plugins que cuenta dicha aplicación web, por tanto a partir de allí  podremos realizar nuestra auditoria mas a fondo, en busca de exploits para cada plugin obtenido.
Después de haber Auditado la Aplicación Web con estos 3 módulos que nos ofrece Metasploit, también es posible ejecutar 3 comandos mas (hosts, services, notes), que nos permitirá obtener información sobre IP’s, nombres del Sistema Operativo que utiliza como también los puertos y servicios.
Por ultimo, el comando notes, nos mostrara toda la información obtenida durante la Auditoria que hemos realizado ejecutando los 3 módulos.
Existen muchas otras herramientas y métodos que nos permite obtener toda esta información, pero no siempre falta saber alguna que otra como este simple tutorial.

Fuente: http://calebbucker.blogspot.com.es/2013/02/auditando-servidores-web-joomla-con.html?spref=fb

Categorías: AplicacionesWeb | Etiquetas: , , | Deja un comentario

Conocer versión de Joomla

joomlaUna de las cosas que nos solemos preguntar los desarrolladores web cuando vemos un portal, es que tecnología se ha utilizado para su desarrollo. En esta caso vamos a ver como saber que versión de joomla utiliza una página.

Podemos saber que un portal está realizado con Joomla de muy diversas maneras:

  • Podemos buscar el meta generator
  • Podemos ver si existe el directorio “administrator”.
  • Podemos fijarnos en las urls a ver si está el “option=com_loquesea”.
  • Consultando algunos archivos txt en la raiz del sitio (htaccess.tx,etc…)

Todas ellas son fácilmente evitables y normalmente se producen por una mala configuración o por algún descuido.

Desde la versión 1.6 del CMS existe una nueva forma de hacerlo, que ademas nos dice con pelos y señales la versión de joomla que tenemos instalada. Se trata de un achivo, con extension xml que se encuentra en la esta ruta:

/administrator/manifests/files/joomla.xml

Asi pues, si no realizamos ninguna acción sobre este archivo (cambio de permisos, etc…) será facil descubrir al versión de joomla utilizada en nuestro sitio web y estaremos facilitando el proceso de hackeo del mismo.

Fuente: http://todojoomla.wordpress.com/2013/03/25/conocer-version-de-joomla/

Categorías: AplicacionesWeb | Etiquetas: , , | Deja un comentario

Crear un usuario joomla desde phpmyadmin

En el caso en que estemos haciendo una actualización de una web (o que simplemente queramos acceder al back-end y nadie pueda suministrarnos un usuario) y no dispongamos de un usuario, pero sí de acceso a su base de datos se detallan los pasos a seguir para crear un usuario:

Sigue leyendo

Categorías: AplicacionesWeb | Etiquetas: , , | 1 comentario

¿Qué novedades hay en Joomla! 2.5?

Joomla! 2.5 vio la luz en enero de 2012 y es el sucesor de Joomla! 1.5. Será una de las denominadas «versiones de ciclo largo» (con soporte de larga duración), y supondrá el estado del arte de Joomla! hasta julio de 2012. Las versiones 1.6 y 1.7 fueron versiones «de ciclo corto», y su función era la de pavimentar el camino para llegar hasta Joomla! 2.5.

Si ya actualizaste tu sitio desde Joomla! 1.5 a la 1.7 en 2011 probablemente ya usas todas las nuevas características introducidas por Joomla! 1.6 y 1.7. Si haces scroll hacia abajo y lees la lista de nuevas características en comparación con Joomla! 1.5 te darás cuenta de que 2011 fue un año muy interesante para Joomla!

Pero echemos un vistazo más de cerca a las nuevas características de Joomla! 2.5. Sigue leyendo

Categorías: AplicacionesWeb | Etiquetas: , , | Deja un comentario

Insertar un iframe en Joomla 2.5 (Editor JCE).

La forma mas sencilla para insertar iframes con seguridad en JCE Editor sin necesidad del plug-in, es la siguiente:

1. Acceso al panel de control de JCE Editor.

2. Acceso a Configuración General.

3. En «Cleanup & Output», «Yes» para «Validate HTML» .

4. En Perfiles de Editor, entrar en el modelo o modelos que se es estén usando (default, frontend, blogger o mobile).

5. Parámetros de Editor > Advanced.

6. En la caja de texto con el título «Extended Elements», escribir iframe.

Guardar todo.

Como veis, es posible habilitar muchos elementos y codificación a través de esta configuración.

Una vez realizado todo ello, ya es posible introducir iframes a través del editor sin que sea eliminado al abrir sesión u operar de nuevo en el mismo.

Fuente: http://www.joomlaspanish.org/foros/f134/jce-me-quita-los-iframes-89945.html

Categorías: AplicacionesWeb | Etiquetas: , , , , , | Deja un comentario

Insertar un iframe en Joomla 2.5 (Editor TinyMCE).

Si intentamos insertar el código html para incluir un iframe dentro de un artículo de nuestro sitio web, el editor normal de joomla nos destrozará el código y al final no podremos ver lo que esperábamos ver. El editor de joomla por defecto elimina el código html del iframe.

Una manera de evitar esto consiste en modificar los parámetros de configuración de nuestro editor dentro de joomla. Estos pasos varian segun el editor que utilicemos, aquí mostramos los pasos para permitir insertar «iframe» con el editor TinyMCE.

  1. Entramos como administradores dentro del apartado de administración del portal.
  2. En el menú superior tenemos la opción «Extensions», dentro del mismo hacemos clic en el «Plug in Manager»
    Administración Joomla plugin
  3. En el filtro «Select Type» escogemos editores
    Administración Joomla editors
  4. De la lista de editores escogemos el editor que queremos modificar, en nuestro caso el TinyMCE
  5. Dentro de las «Basic Options» borramos el «iframe» dentro de «Prohibited Elements
    Administración Joomla iframe
  6. Salvamos la nueva configuración
  7. Ahora a la hora de editar una entrada, con la opción «html» podremos insertar el código html necesario para visualizar en una entrada un «iframe» sin que el editor se cargue el mencionado código al guardarlo.
  8. Un ejemplo de iframe insertado después de haber hecho estas modificaciones lo tenemos en la página donde mostramos el Calendario escolar de Alemania 

Empleamos una instalación de Joomla en inglés y nos hemos basado en el artículo de  inmotionhosting

Fuente: http://www.en-berlin.com/index.php/joomla/1183-insertar-un-iframe-en-joomla-2-5

Categorías: AplicacionesWeb | Etiquetas: , , , , | Deja un comentario

Efectos de zoom HMTL y JS para fotos

http://www.magictoolbox.com/magiczoom/integration/

Categorías: AplicacionesWeb, Trucos | Etiquetas: , , , | Deja un comentario

Joomla 1.7 cambiar a multi_idioma el portal.

Fuente: http://www.webempresa.com/blog/item/515-idiomas-en-joomla-17-multi-idioma.html

Categorías: AplicacionesWeb | Etiquetas: , , , | Deja un comentario

Google Chrome -> Herramientas para ver el código.

Sabías que con el navegador Google Chrome puedes ver el código html, php, css, javascript etc del portal.
Sigue leyendo

Categorías: AplicacionesWeb | Etiquetas: , , | Deja un comentario

Joomla error: PHOCAGALLERY_CATEGORY_IS_UNPUBLISHED

SOLUCIÓN:

You have installed Phoca Gallery component and Phoca Gallery plugin. You want, your Phoca Gallery plugin will create SEF links to Phoca Gallery component correctly but you don’t want to display the menu link to Phoca Gallery component – e.g. to Categories View. So you will go to Menu Manager and you will create new menu group called «Hidden». In this menu group you will create menu link to Phoca Gallery component – e.g. to Categories View. The help link (SEF menu link) for Phoca Gallery plugin will be created. Now you will go to Module Manager and you will unpublish the module «Hidden» (menu group «Hidden» is displayed on the site as module). Then the SEF links will be correctly displayed and the menu group «Hidden» will be not displayed on the site.

TRADUCCIÓN DE GOOGLE TRANSLATE:

Ha instalado los componentes Phoca Gallery y plugin de Phoca Gallery. Lo desea, su plug-in de Phoca Gallery creará enlaces SEF al componente Phoca Gallery correctamente, pero no desea que aparezca el enlace del menú de componentePhoca Gallery – por ejemplo, para ver las categorías. Por lo que se vaya a Administrador de menú y va a crear grupo nuevo menú llamado «Hidden». En estegrupo de menús que creará enlace del menú de componente Phoca Gallery – por ejemplo, para ver las categorías. El enlace de ayuda (enlace SEF menú) para Phoca Gallery plugin será creado. Ahora vas a ir a gestor de módulos y despublicas el módulo de «Oculto» (grupo de menús «ocultos» aparece en el sitio como módulo). A continuación los enlaces SEF se mostrará correctamente y el grupo de menús»ocultos», no se mostrará en el sitio.

Categorías: AplicacionesWeb | Etiquetas: , , | Deja un comentario

Blog de WordPress.com.