Une nouvelle failles de type 0day a été découverte au sein de Joomla!. Son exploitation permet à un attaquant d’exécuter, à distance, des commandes arbitraires sur un serveur hébergeant une version vulnérable de Joomla!.

Cette faille de Joomla présente depuis 8 ans, mais révélée que récemment. Il est très facile son exploitation et depuis samedi 12 décembre 2015, des pirates exploitent massivement cette faille et plusieurs dizaines de sites sont impactés.

La société  Sucuri a découvert que cette faille de Joomla était présente dans toutes les branches 1.5 à 3.4 de Joomla! mais l’exploitation est possible seulement sur les serveurs avec les versions de PHP inférieures à 5.5.29, 5.6.13 et inférieures à 5.5.

Pour une analyse de cette faille de sécurité, je vous invite a lire cet article sur ce site.

Comment exploiter cette faille avec Metesploit ?

Comme d’habitude, Metasploit a publié un exploit pour cette faille et il a rendu nos vies plus faciles.

Pour exploiter cette faille, tout d’abord, vous devez ajouter cet exploit à votre framework Metasploit.

Si vous ne savez pas comment l’ajouter, voici comment le faire.

• Télécharger l’exploit dans votre machine de kali linux à partir de ce lien.
• Ajoutez-le à «/ usr / share / Metasploit-cadre / modules / exploits / multi / http / »
• Ouvrez votre console Metasploit et tapez « reload_all ».

Après l’ajout de l’exploit, il est assez simple à utiliser.

Il suffit de tapez les commandes dans l’images ci-dessous:

Attention, il faut remplacer le RHOST et TARGETURI par l’adresse du site web vulnérable.

Une fois que vous avez défini toutes les options nécessaires, tapez exploit. Vous devriez voir la fenêtre de Meterpreter comme indiqué ci-dessous:

Pour bien exploiter le serveur du site web vulnérable, voici les principale commande d’une session meterpreter, vous pouvez les retrouver dans votre terminal en tapant  » help » dans votre session meterpreter.

Comment se protéger de cette faille ?

Si vous utilisez la version 1.5.x ou 2.5.x , vous devez appliquer ces correctifs publiés par l’équipe de développement de Joomla.

1.5.x: Session Fix Joomla 1.5.x
2.5.x: Session Fix Joomla 2.5.x

Pour cela, veuillez suivre les etapes ci-dessous:

• Dézippez le dossier téléchargé, il y a un dossier intitulé « libraries ».
• Connectez-vous à votre site Joomla par FTP.
• Naviguez jusqu’au dossier /libraries/joomla/session/.
• Remplacer le fichier session.php avec le nouveau fichier session.php que vous venez de télécharger.

Et si vous utilisez la version Joomla 3.x, il vous suffit de vous connecter à l’administration de votre site et de cliquer sur le lien de mise à jour vers Joomla 3.4.6.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Comment exploiter la faille 0day d’Internet Explorer avec Metasploit
• C’est quoi Metasploit et comment bien l’utiliser ?
• Comment détecter et sécuriser les failles d’un site joomla ?
• Les meilleurs commandes Meterpreter de Metasploit
• Faille Upload, comment l’exploiter et s’en protéger
• Faille Include, comment l’exploiter et s’en protéger
• Des outils pratiques pour les hackers
• Un hacker Palestinien a piraté le compte de Mark Zuckerberg
• Détecter et sécuriser les vulnérabilités d’un site WordPress
• DVWA: Testez vos compétences en Hacking
• AntiDef: protéger votre site contre le piratage
• Websecurify: Scanne votre site contre les dernières vulnérabilités
• Comment exploiter le cookie d’une victime ?
• Honeypot, la technique utilisée par la police pour attraper les hackers
• PunkSpider: un moteur de recherche des sites web vulnérables
• Mon mot de passe Windows 7 est perdu alors que dois-je faire ?
• Faille XSS, comment l’exploiter et s’en protéger
• Changer le mot de passe de session Windows sans le connaitre
• Pirater un site Web avec Kali Linux en moins de 4 minutes
• Injecter un backdoor dans une machine Windows avec une clé USB

Avec les récents appareils photos numériques, le poids des images devient vite problématique : 8, 16 voire 32 Mo pour une photo !

Si vous voulez mettre vos clichés sur Internet, les envoyer par e-mail ou les placer sur un cadre numérique, pas besoin d’autant de données ! Téléchargez et installez IrfanView.

IrfanView est un petit programme gratuite et capable de lire, de modifier et de convertir des douzaines de formats de fichiers graphiques. Il est spécialement conçu pour la gestion des photos. Il est surtout destiné au débutant dans le domaine, mais dispose de tous les outils qu’il faut pour faire le travail d’un professionnel.

Il permet, entre autres, d’ouvrir les formats de fichiers suivants :  BMP, GIF, JPEG, PNG, TIFF, etc.

C’est aussi un lecteur vidéo et un lecteur audio capable de lire plus d’une douzaine de formats vidéo et audio. En ce qui concerne les fichiers vidéo et audio, il reconnaît Flash, OGG, MPEG et MP3, entre autres.

Le logiciel IrfanView vous permettra de réduire par lots le poids de vos photos jusqu’à 90 % tout en limitant au maximum la perte de qualité. Sans surprise, son secret réside dans l’utilisation d’un algorithme de compression optimisé pour ce type d’exercice.

Comment réduire le poids d’une photo avec irfanView?

Ouvrez le programme IrfanView et cliquez sur File -> Batch Conversation/Rename puis cochez la case Batch conversion.

Choisissez l’endroit où se trouvent les photos à traiter. Ajoutez les images que vous voulez réduire en cliquant sur Ajouter » ou « Tout ajouter » (« Add » ou « Add all » en anglais).

Enfin cliquez sur le bouton Star Batch en bas. Une nouvelle fenêtre s’ouvre alors pour indiquer l’avancement de l’opération et les avertissements ou erreurs éventuelles.

Vous pouvez faire de même avec le logiciel JPEG Express. Attention, surtout ne nommez pas ces photos de la même manière que l’original, vous pourriez écraser vos précieuses photos en haute résolution.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Comment réparer des photos endommagées ?
• Compresser et réduire le poids d’une image en un clic
• Ecoutez vos chansons préférés gratuitement et légalement
• Comment convertir un fichier dans tous les formats sans rien installer ?
• MusicBee: le lecteur de musique ultime pour Windows
• Retrouvez votre appareil photo volé
• Comment accéder à une photo de profil privée sur Facebook ?
• Récupérer des fichiers supprimés sous Android
• Comment sauvegarder et restaurer toutes les données de votre PC ?
• Trouver le mot de passe d’une base de donnée Access
• Réduire jusqu’a 80 % de la consommation mémoire du Chrome
• Augmenter la taille d’une clé USB ou d’une carte mémoire
• Comment effacer les données GPS de vos photos ?
• Convertir une page Web en PDF sans rien installer
• Cacher un RAR dans une image avec MS-Dos
• Mes fichiers sont supprimés, alors comment les récupérer ?
• Récupérer ses photos Instagram
• Nouvelle technique pour récupérer l’adresse IP d’une victime
• Extraire du texte et des images d’un fihcier PDF
• Copiez et transférez de gros fichiers rapidement

Je vous ai parlé plusieurs fois des keyloggers, ces logiciels malveillants qui, une fois installés sur vos PC, vont récupérer tout ce que vous saisissez au clavier : mots de passe, informations bancaires, etc.

Même si un antivirus est la meilleure arme contre ces malwares, il arrive que certains passent au travers du filet.

Il existe même des keyloggers matériels qui se branchent entre le port USB du PC et le connecteur du clavier et peuvent stocker pour certains jusqu’à 200 000 caractères.

Ils ne coûtent pas cher, on en trouve en vente partout sur le net et ils sont indetectables par les

Alors comment se protéger des keyloggers ?

Pour lutter contre cette menace, je vous conseille d’installer KeyScrambler un logiciel qui va crypter toutes les frappes directement au niveau du pilote de votre clavier pour ne le décrypter que dans votre navigateur Web (chrome, Firefox, etc).

Si un pirate essaye de lire vos frappes, il se retrouvera avec du texte inexploitable…

Une autre solution un peu contraignante mais permettant de contrer aussi les keyloggers quel que soit leur type c’est d’utiliser le clavier visuel de Windows. Il suffit de taper par exemple son mot de passe sur un clavier virtuel.

Pour obtenir un clavier visuel, il suffit de cliquer sur Démarrer / Exécuter et de taper la commande suivante : osk.exe

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Les keyloggers: fonctionnement, utilisation et protection
• Keylogger: Espionnez qui écrit quoi sur votre clavier
• Une extension Chrome pour vous protéger contre le phishing
• Protéger votre BIOS
• Tails, la distribution Linux utilisé par Edward Snowden
• Les meilleures pratiques pour se protéger des hackers
• Trouver le mot de passe d’une base de donnée Access
• Protéger un dossier par un mot de passe sans aucun logiciel
• Cryptez une clé USB avec BitLocker
• Protéger son ordinateur avec une webcam
• Partagez vos documents avec le monde entier !
• Protégez-vous des sites frauduleux avec Netcraft
• Comment supprimer le mot de passe de BIOS oublié ?
• Comment choisir un mot de passe sécurisé ?
• Comment débloquer un fichier PDF verrouillé ?
• 5 astuces pour garder vos données en toute sécurité
• Protéger votre site web contre les failles de sécurité
• TUTO HACK: Création d’une clé USB rootkit
• Vérifiez la sécurité d’un proxy avec de l’utiliser
• Mon PC ne démarre plus alors que dois je faire ?

Vous avez trouvé sur Facebook une vidéo intéressante que vous devez absolument sauvegardez sur votre mobile ? Vous avez peur qu’elle soit supprimer avant que vous ayez pu en profiter ? Vous voulez télécharger la vidéo sur votre téléphone pour la publier sur votre page ou votre profil ?

Pas de souci ! Je vous montre aujourd’hui comment télécharger facilement les vidéos Facebook directement sur votre smartphone Android depuis l’application DSV (My Video Downloader Facebook).

My Video Downloader Facebook est une application de la plateforme Android conçue pour télécharger des photos ou des vidéos sur Facebook instantanément.

Grâce à cette application, l’utilisateur peut récupérer facilement les vidéos partagées sur ce réseau social.

Pour ce faire, suivez les étapes ci-dessous:

Télécharger et installer My Video Downloader Facebook sur votre smartphone, identifiez-vous sur le réseau social en cliquant sur le bouton log with Facebook au centre de l’écran.

Une fois connecté, vous allez retrouver plusieurs onglets sur le menu de gauche. Vous pourrez ainsi décider d’accéder seulement aux vidéos des pages que vous aimez, à celles ou vous êtes identifier par vos amis, ou encore à celles du flux d’actualités général (explore mode).

Attention, dans l’explore mode, il vous sera demandé d’entrer le login et le mot de passe  de votre compte Facebook. Il est préférable de ne pas utiliser cette option.

Une fois que vous avez trouvé la (ou les) vidéo (s) que vous souhaitez télécharger, sélectionnez la (ou les) , puis cliquez sur le bouton Download.

Une fois le téléchargement effectué, retrouvez la vidéo que vous avez sauvegardé dans la section « Downloaded vidéos » ou directement dans votre explorateur de fichiers habituel.

Voilà, votre vidéo est téléchargée. Simple, non !

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Télécharger gratuitement les vidéos de Facebook
• Comment télécharger une vidéo Facebook sans rien installer ?
• Détectez les squatteurs de Wifi avec votre Smartphone Android
• Comment bloquer la publicité sur votre smartphone Android ?
• Détecter les vulnérabilités de votre téléphone Android avec Android VTS
• Partagez votre carte SD via Wi-Fi
• Télécharger gratuitement la musique sur son Ipad ou son iPhone
• Top 5 Applications Android pour sécuriser son téléphone
• Ne plus recevoir des invitations aux jeux Facebook
• Virus Android: Comment les détecter, les éliminer et s’en protéger ?
• Hacker un compte Facebook avec l’outil Reconnect
• Désactiver les notifications d’une application Android
• Booster son smartphone Android avec Avira Android Optimizer
• Répondre aux messages Facebook automatiquement
• Cryptez une clé USB avec BitLocker
• Télécharger les applications de l’App Store gratuitement
• Lucky Patcher: lancer les applications Android gratuitement
• Comment supprimer votre historique de recherche sur Facebook ?
• Comment ajouter des amis sur Facebook même si vous êtes bloqué ?
• Comment enlever « Actif il y a x minutes » sur Facebook ?

Vous ne le savez peut-être pas mais lorsque vous effectuez des recherches sur Instagram avec votre mobile, Instagram en conserve un historique dans votre compte. Cela permet d’optimiser vos futures recherches, et vous seul y avez accès.

Très pratique à première vue. Sauf si vous voulez effectuer une nouvelle recherche et votre conjoint(e)  est entrain de regarder votre mobile derrière votre épaule.

Si vous êtes soucieux de votre vie privée et vous voulez rester discret, vous pouvez supprimer cet historique Instagram avec une astuce simple et pratique.

Effacer votre historique de recherche sur Instagram

Lancez votre application Instagram et connectez-vous à votre compte.

Ensuite appuyez sur le bouton « Profil » dans le coin en bas à droite afin d’ouvrir votre profil.

Puis tapotez sur le menu « Options » en haut à droite de l’écran de profil. Sur iOS, il ressemble à un engrenage, alors que sur Android, il ressemble à trois carrés verticaux.

Enfin appuyez sur « Nettoyer l’historique des recherches ». Vous devrez dérouler l’écran pour trouver ce bouton.

Une boîte de dialogue vous demandera de confirmer votre choix. Appuyez sur « Oui, je suis sûr » pour confirmer.

Vous voilà protégé des curieux. Enfin au moins sur Instagram !

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Comment supprimer votre historique de recherche sur Facebook ?
• Supprimer votre historique de recherche sur Google
• Récupérer ses photos Instagram
• Comment supprimer ses comptes Facebook, Twitter, Linkedln et Google Plus ?
• Télécharger une video Facebook sur votre mobile Android
• Astuce: savoir qui visite mon profil facebook
• Ne plus recevoir des invitations aux jeux Facebook
• Désactiver les notifications d’une application Android
• Détecter les vulnérabilités de votre téléphone Android avec Android VTS
• Comment accéder à une photo de profil privée sur Facebook ?
• Faire le grand ménage sur votre mobile avec CCleaner pour Android
• Sauvegardez et restaurez toutes vos applis sur Android
• Comment enlever « Actif il y a x minutes » sur Facebook ?
• Répondre aux messages Facebook automatiquement
• Comment visiter un profil Linkedin de façon anonyme ?
• Comment rendre votre écran visible que par vous seul ?
• Savoir qui a accès à vos profils Facebook, Twitter, Instagram…
• Publier sur tous les groupes de Facebook en moins d’une minute
• Astuce 2014: Savoir qui vous a supprimé de Facebook
• Contourner la vérification par SMS sur n’importe quel sites