中国网络渗透测试联盟

标题: GV32CMS最新漏洞(暗月渗透测试团队原创) [打印本页]

作者: admin    时间: 2013-10-27 16:23
标题: GV32CMS最新漏洞(暗月渗透测试团队原创)
0x01 简要描述:! }3 O- V  [0 `1 e' n- D7 G
GV32-CMS免费开源企业建站系统,是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业企业建站系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。全部代码都为GV32.COM原创,有着完全的知识产权。凭借 GV32.COM的不断创新精神和认真的工作态度,GV32-CMS企业建站系统已成国内外同类软件中的最好用的企业建站系统。
4 [. o0 v) M  i" k8 O5 g; U9 i" C- W: |0x02 详细说明:
* M# Z$ H1 g$ E" s2 R, X$ O5 R复制代码  w8 J! O7 P1 @
经典语句重现
7 |) {  X; O/ c* V. T& d2 l* E复制代码
4 Z# A. g$ _" p原本以为注释就完事了 后来发现被过滤l 再看funpost函数 : W5 @& K7 m& h6 C+ H  T2 @" \6 h7 ?) F4 d

. i" G) Q8 N1 Y# f4 f[attach]270[/attach]% l" \. r1 I4 u  j) Q! j( S2 }

0 G2 y% s2 F) _! w7 \: d, t0x03 漏洞证明:
1 O: k2 Q0 g6 W2 O# D& K登录用户处填写 admin' or '1'='1
; C# b1 i/ U7 J% {# i  s1 ~2 [4 Z# h2 {+ q
[attach]273[/attach]( Q4 x- t, h! g9 t  i) F/ t

& ?: ~* N9 L- @; x7 f% o. d/ b0 H. ^  T0 G5 O5 @





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2