3kits模板imgGallery.php文件id参数SQL注入漏洞分析

本文详细披露了3kits模板中imgGallery.php文件存在的SQL注入漏洞。攻击者可通过构造恶意的id参数执行数据库查询,获取敏感信息如数据库版本等,并提供了验证漏洞的PoC示例。

3kits模板 via imgGallery.php SQL注入漏洞 (id参数)

来源:CXSecurity.com

日期:2025年11月7日 提交者:Hossein_0xB

风险等级:中 本地利用:否 远程利用:是 CVE编号:N/A CWE编号:N/A 关联搜索关键词:“Designed & Developed by 3kits”

漏洞信息

  • 漏洞标题:3kits - SQL注入
  • Google Dork:“Designed & Developed by 3kits”
  • 发现日期:2025年11月2日
  • 漏洞作者:Hossein_0xB
  • 漏洞类别:Web应用程序
  • 测试环境:Windows 10
  • CVE编号:(暂无)

概念验证 (Proof of Concept)

演示示例https://hyderabadrealtors.org/imgGallery.php?id=-3 union select 1,version(),3,4

发现者信息

  • 发现者:Hossein_0xB
  • 邮箱:dastkherd.makoraan@gmail.com

参考链接

  • 厂商网站(如可用):https://www.3kits.com/
  • OWASP SQL注入攻击介绍:https://owasp.org/www-community/attacks/SQL_Injection
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次