切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
PHPEMS在线模拟考试系统 v1.21 注入漏洞[ CodeSec-2014-0001 ][复制链接]
发表于 2013-12-30 22:38:15 | 显示全部楼层 |!read_mode!

开发者漏洞预警 —— PHPEMS在线模拟考试系统 v1.21 注入漏洞 [ CodeSec-2014-0001 ]

漏洞编号: CodeSec-2014-0001

漏洞标题: PHPEMS在线模拟考试系统 v1.21 注入漏洞

漏洞类型: 注入

漏洞危害等级: 高危

漏洞状态: 漏洞发布,联系作者中...

漏洞细节:
见帖子内容

修补方案:
过滤

源码地址:
http://down.chinaz.com/soft/34597.htm?qq-pf-to=pcqq.discussion

论坛备份源码地址:
/data/download/phpems_zxmnks_v1.21.rar

开发者回复: 联系开发者中...



附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。
发表于 2014-1-2 18:33:37 | 显示全部楼层
原来是http head 注入
发表于 2014-1-3 19:37:16 | 显示全部楼层
610088622 发表于 2014-1-2 18:33
原来是http head 注入

不是cookies注入吗?
发表于 2014-1-5 11:06:41 | 显示全部楼层
王子不是我 发表于 2014-1-3 19:37
不是cookies注入吗?

http head 中的cookies注入 ,你可以看看http head注入一文。
发表于 2014-1-7 21:35:41 | 显示全部楼层
挺犀利~{:jinguanzhang202:}
发表于 2014-1-7 21:53:14 | 显示全部楼层
哈哈 新头像不错哈
发表于 2014-1-8 23:12:12 | 显示全部楼层
@抚菊深思 本来想换荀彧了,不过司马懿这张鹰视狼顾......帅爆了
发表于 2014-1-22 19:09:11 | 显示全部楼层
今天试了下,貌似利用起来有点困难,exam_psid 这个cookie, 报错中同时存在一个select 和一个update,求指导 @抚菊深思
发表于 2014-1-22 21:38:52 | 显示全部楼层
嗯  试试sqlmap的cookie注入
发表于 2014-1-23 14:29:00 | 显示全部楼层
sqlmap注入成功了,谢谢@抚菊深思

代码区

GMT+8, 2019-11-20 00:22

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部