当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011234

漏洞标题:投注网刷元宝漏洞

相关厂商:投注网

漏洞作者: imlonghao

提交时间:2012-08-23 17:15

修复时间:2012-08-28 17:16

公开时间:2012-08-28 17:16

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-23: 细节已通知厂商并且等待厂商处理中
2012-08-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

软币门无小事——CNCERT
投注网由于设计缺陷,导致可以无限刷元宝。
1元=10金豆=10元宝
逆向使用商场购买功能,不扣元宝,反而还多元宝!
其实我也不知道在那里元宝算好赚不好赚,反正我随便点了一点就30W元宝了。。。

详细说明:

投注网游戏http://game.touzhu.cn/里面的商场,在购买的数量上没有考虑到负数的问题,导致当输入一个负数数量时,不扣元宝,反而还加元宝。
前台显示是只能输入一个1-99的数量单位,但我们可以用截包工具来进行绕过,强制修改为负数。
负数提交支付后,会给你相应的元宝,而且还会给你这件商品,不过这件商品的数量是一个负数,但是,当你使用这个商品的时候,反而再-1。
例如原先就已经是-100个商品数量,再使用一个,就会变成-101个。
这里也可以推断出一个设计缺陷,正常情况下,1个用掉一个到0的时候商品就会销毁,但当跳过了0这个数量是,不管是负数,也会照样-1。
所以,利用这个漏洞我们不仅仅刷到了元宝,而且还刷到了无限使用的商品。
这个问题类似与我之前提交的WooYun-2012-06708和WooYun-2012-06589,厂商可以参照一下。

漏洞证明:

原先我的元宝数


我们以风险卡为例,他是72元宝一个。


我们随便写一个数量,然后提交购买,截包,将txt_BuyCount修改为一个负数,这里我将其改成-5000


运行,成功了。
共花费了-360000.00,购买了-5000个风险卡(大)


现在的元宝数


商品数量

修复方案:

在服务器控制购买的商品数量txt_BuyCount必须为1-99
将一切负数商品数量的商品销毁,而不是再-1

版权声明:转载请注明来源 imlonghao@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-08-28 17:16

厂商回复:

最新状态:

2012-08-28:谢谢你,我好像给点错了.不好意思.真心感谢.已经修证了.

漏洞评价:

评论

  1. 2012-08-23 18:31 | 小一 ( 实习白帽子 | Rank:32 漏洞数:13 )

    我前面两个支付一个评10,一个评15,我后悔了。。。

  2. 2012-08-23 20:07 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @小一 乱给的,看厂商心情。。。

  3. 2012-08-28 17:25 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @投注网 fk!

  4. 2012-08-28 17:28 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    你就应该刷死他,给他找个问题,还那么牛逼,刁毛啊

  5. 2012-08-28 17:31 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @Vty 额,你过激了.......淡定淡定啊..貌似是5天自动公开..

  6. 2012-08-28 17:45 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @imlonghao 测试了一下,刷了对厂商影响不大;他的增值业务需要金豆支付;你只能刷元宝;元宝只能用于游戏

  7. 2012-08-28 18:32 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @一刀终情 不过元宝是用金豆换的,额,关系很复杂。。

  8. 2012-08-28 19:05 | 小一 ( 实习白帽子 | Rank:32 漏洞数:13 )

    @imlonghao 谢谢你,我好像给点错了.不好意思.真心感谢.已经修证了.