大汉版通JCMS内容管理系统SQL注射漏洞

文章目录

简要描述:

大汉版通JCMS内容管理系统某处参数未经处理即入库查询导致SQL注射漏洞产生,可利用来登录后台等,当前测试存在该漏洞的版本为JCMS2010。

详细说明:

1. 大汉版通JCMS内容管理系统(JCMS2010)默认后台登录页中由于用户名未经处理即带入数据库查询产生SQL注射漏洞。

2. 利用测试:

后台登录页:http://0day5.com/jcms/

用户名:

密码:1

其中’00000’是验证管理员用户组的一个字段;’admin’是管理员用户名;’AEY=’加密密码,解密后为’1′;后面的’1’表示帐号启用。

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录