Loading
0

CVE-2021-27946 MyBB民意调查中投票数量SQL注入漏洞

免费、自由、人人(PwnWiki.Com)可编辑的漏洞库

,

This page contains changes which are not marked for translation.

影响版本

< 1.8.26

<html>

漏洞利用

首先创建一个帖子:

1.jpg

接着设置投票:

2.jpg

编辑投票(右下角)

插入payload:(这里采用延时注入验证漏洞) 

1' and sleep(10) and '

3.jpg

拉到最下面的Moderation Options,选择move / copy thread

4.jpg

点击move/copy thread按钮,抓包分析,发现成功延时,验证成功

免费、自由、人人可编辑的漏洞库--PwnWiki.com