newcms_v2.2-sql注入

1

可以看到USERJIHUO.ASP的id没有进行任何过滤

3

进一步证实,而且是数字型注入,被调用的文件中也没有过滤代码,构造得到的注入点:

/user/USERJIHUO.ASP?id=1

由于注入语句正确后会弹窗口,浏览器中不好直接观看,所以丢注入工具进行检测

自动添加表名:new_admin 用户字段:admin_name 密码字段:admin_pass

批量搜索关键字:powered by newcms_v2.2

 

Crazy3-90sec

本文固定链接: https://www.unhonker.com/bug/1294.html | 90' s Blog|关注网络信息安全

该日志由 unhonker 于2013年06月19日发表在 漏洞公布 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: newcms_v2.2-sql注入 | 90' s Blog|关注网络信息安全
关键字:

newcms_v2.2-sql注入:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!