14.06.2011, 03:15
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
WebsiteBaker CMS
Уязвимый модуль : Event_Calendar
SQL Injection
/modules/event_calendar/details_popup.php
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]$event_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'entry_id'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT id,start_time,end_time,short_description,long_description,link_text,link_http,type FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]TABLE_PREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"mod_event_calendar WHERE id =[/COLOR][COLOR="#0000BB"]$event_id[/COLOR][COLOR="#DD0000"];"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$query_entries[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$entry[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$query_entries[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]fetchRow[/COLOR][COLOR="#007700"]();[/COLOR][/COLOR]
дорк или метод заливка шелла не имеют смысла описать, все элементарно..
|
|
|