当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025646

漏洞标题: 52pk大型bbs游戏论坛数据库泄漏!

相关厂商:52PK游戏网

漏洞作者: 邪少

提交时间:2013-06-13 11:14

修复时间:2013-07-28 11:15

公开时间:2013-07-28 11:15

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-13: 细节已通知厂商并且等待厂商处理中
2013-06-17: 厂商已经确认,细节仅向厂商公开
2013-06-27: 细节向核心白帽子及相关领域专家公开
2013-07-07: 细节向普通白帽子公开
2013-07-17: 细节向实习白帽子公开
2013-07-28: 细节向公众公开

简要描述:

52pk大型游戏论坛数据库泄漏!

详细说明:

某日某月某天,在某个角落里,
我的一个朋友的朋友的朋友的朋友的基友,
在搞一次正规的渗透测试之时,发现了一台内网服务器,渗入进去之后才知道这是52pk论坛数据库,这二货居然使用弱口令,这叫人如今情何以堪!
五百万数据库啊!打开bbs.52pk.com论坛显示这有六百王用户!我那朋友的朋友的朋友的基友这是寻思着。这估计是以前的服务器。虽然搬到了别的服务器。但是/数据还在,并没有删掉!而是静悄悄的留了下来,这就是人为的漏洞,当然这不怪维护人员,圣人也会放错,何况是人了,估计52pk游戏的幕后老板很小气,不给程序员工资,你摸着自己的良心想想看,程序员那是玩命的职业。一不小心就会猝死,你难道不给加点工资么!天理何在,咳咳。不是讲漏洞么?哎哟。扯题了
在52pk数据库有两个表。一个是bbs论坛数据库.一个是act_52pk活动数据库。估计就是一些搞活动的,也幸亏bbs论坛使用了dz加密程序。就算拿到了裤。也解不开密码。
但是!但是!很奇葩的事情来了。我那朋友的朋友的朋友的朋友是基友的朋友的朋友
在翻到3030多页的时候,你才发现了什么!
你猜是没错!是明文。你没看错。这就是明文
在这一页当中 有一千86个用户 百分之30。居然是明文。这使我合金眼万万不能相信啊!
先后翻了一下。一共有100多页是明文
我们算一下。一页面有1068个用户
有百分之30是明文。也就是320.4。
乘上 100
也就是三万两千四十多用户,虽然三万用户少了点。但是也泄漏了隐私,这年头的裤很容易撞,大部分的网民还是习惯用同一组密码的!咳咳。或者超过三万了把
在另外一个库里面 还用明文储存呢,之后我那朋友的朋友的基友的另一个朋友就没有彻底的继续渗透下去

漏洞证明:

52pk大型游戏论坛数据库泄漏!
拿下一台丢弃的内网服务器。

1111.jpg


2222.jpg

修复方案:

修复这种事情 当然得交给维护人员啦!

版权声明:转载请注明来源 邪少@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-06-17 09:53

厂商回复:

非常感谢您的报告。这个问题我们已经确认。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-11 14:32 | 基佬 ( 路人 | Rank:20 漏洞数:5 | 基情四射~)

    数据早有了 =。=

  2. 2013-06-11 14:35 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    @基佬 那是三 四 天前发现的不知道 道友何时的?