SQL-инъекция в SiteAdmin CMS

Рекомендуем почитать:

Xakep #294. Pentest Award

Содержание выпуска
Подписка на «Хакер»-60%

Программа: SiteAdmin CMS

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «lng» сценарием line2.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://localhost/line2.php?lng=ru&art=16+limit+0+union+select+1,2, concat_ws(0x3a3a,user_login,user_passw),4,5,6,7+from+auth_users+limit+3,10/*&cat=2

SQL-инъекция в SiteAdmin CMS

Xakep #294. Pentest Award

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Tunnels Nightmare. Используем провайдерские протоколы для пивотинга

HTB Pilgrimage. Повышаем привилегии через уязвимость в Binwalk

Абьюз сессий Windows по-новому. Получаем билеты TGT методом GIUDA

Большая охота. Практикуемся в Threat Hunting

Трюки

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Инструменты разведчика. Извлекаем данные из Instagram, Telegram, GitHub и других источников

Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью

Последние новости

Хак-группа Chimera более 2,5 лет сохраняла доступ к сети полупроводниковой компании NXP

Японское космическое агентство JAXA пострадало от хакерской атаки

Группировка Rare Wolf ворует данные с помощью фальшивых накладных «1С:Предприятие»

Уязвимость в ownCloud уже взяли на вооружение хакеры

Google срочно патчит в Chrome шестую уязвимость нулевого дня в этом году