当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036826

漏洞标题:盛大百万亚瑟王支付漏洞,一分钱充MC

相关厂商:盛大游戏

漏洞作者: 肥羊宅

提交时间:2013-09-12 09:16

修复时间:2013-10-27 09:16

公开时间:2013-10-27 09:16

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-12: 细节已通知厂商并且等待厂商处理中
2013-09-12: 厂商已经确认,细节仅向厂商公开
2013-09-22: 细节向核心白帽子及相关领域专家公开
2013-10-02: 细节向普通白帽子公开
2013-10-12: 细节向实习白帽子公开
2013-10-27: 细节向公众公开

简要描述:

一分钱充值6800MC成功(价值六百多RMB),你说呢……

详细说明:

玩MA,没事干抓抓包,游戏本身加密简单外挂横行什么的就不说了(我也从网上下过,就是挂机舔怪被封了,捂脸),今天一试,支付系统简直是……不说了……
刚开始是买了最高的6800MC,结果中途步骤忘记截图了……然后又买了一个最便宜的60MC,所以截图、数据有点混乱,见谅
购买MC界面,截图

QQ截图20130911220833.jpg


然后会进入盛大的支付界面,注意是网页

QQ截图20130911220842.jpg


我们打开可爱的wireshark抓包~

QQ截图20130911221029.jpg


打码部分均为本人手机号码,明文,明文!!我们欢乐地得到了这样一个网址(60MC的):

http://api.mam.sdo.com/pay.php?phoneid=手机号&ordersn_game=MA_APPLE_60MC&money=6.0&notifyurl=http%3A%2F%2F10.31.23.133%3A10001%2Fconnect%2Fweb%2Fpayment%2Fsnda_verify_receipt&ext=手机号&channel=M216&itemname=60MC&appid=1000


(顺便HTTP请求里面有个:X-Powered-By: ThinkPHP,不抹掉万一被抓漏洞大丈夫?)
GET请求啊有木有,后面的全都是这个网页跳转过去的有木有!我们打开可爱的Chrome浏览器~

QQ截图20130911221208.jpg


改成0.01会怎样呢~

QQ截图20130911222422.jpg


……无语……

QQ截图20130911222458.jpg


接着无语……

QQ截图20130911222507.jpg


在手机中点击后退键会弹出这个,注意从这里返回后应用会发一个回调确认支付是否成功,so要先在网页支付完再点击这个

QQ截图20130911221326.jpg


6800……

QQ截图20130911221417.jpg


买药……

QQ截图20130911222035.jpg


买完药,确实消耗掉了,成功。
我的手机号和支付用的盛大账户都可以跟我要联系方式,MC我只买了一瓶茶其它啥都没干,要收回随便,只求不查水表……
以及我以后真的不挂机了2333本来都考虑充点钱买药了结果一抓包你这不是玩我嘛!

漏洞证明:

http://api.mam.sdo.com/pay.php?phoneid=手机号&ordersn_game=MA_APPLE_60MC&money=6.0&notifyurl=http%3A%2F%2F10.31.23.133%3A10001%2Fconnect%2Fweb%2Fpayment%2Fsnda_verify_receipt&ext=手机号&channel=M216&itemname=60MC&appid=1000


QQ截图20130911222422.jpg


QQ截图20130911222458.jpg


QQ截图20130911221326.jpg

修复方案:

支付增加验证,以及使用HTTPS等方式加强安全。

版权声明:转载请注明来源 肥羊宅@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-09-12 09:37

厂商回复:

感谢提供漏洞信息,这个支付原来测试过,可能开发改了后台逻辑,现在正在紧急核实处理中。稍后处理完毕回寄送礼物表示感谢,请暂时勿扩散漏洞信息。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-12 09:33 | 肥羊宅 ( 路人 | Rank:21 漏洞数:2 | 只是来学习安全知识的……估计抓不出多少漏...)

    自沙,盛大求别查水表23333

  2. 2013-09-12 09:39 | 盛大网络(乌云厂商)

    不会查水表的,我们已经启动应急处理,请洞主暂勿扩散信息,稍后会有礼品寄出,请留下联系方式

  3. 2013-09-12 09:48 | Mr.杨总 ( 路人 | Rank:14 漏洞数:4 | 绿色 无毒 你懂得。。。。心要宽 。。。)

    洞主息怒

  4. 2013-09-12 10:21 | 啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )

    洞主,请勿扩散,扩散后会有礼物并查水表;没扩散,直接收礼物。

  5. 2013-09-12 11:18 | 肥羊宅 ( 路人 | Rank:21 漏洞数:2 | 只是来学习安全知识的……估计抓不出多少漏...)

    @盛大网络 卧槽你们对我的号做了什么orz突然好友清零然后退出就登不进去了……这是我大号啊别封啊

  6. 2013-09-12 12:23 | 调情 ( 路人 | Rank:5 漏洞数:2 | 调情小菜,专注getshell,以及注入,upfile)

    洞主,请勿扩散,扩散后会有礼物并查水表;没扩散,直接收礼物。

  7. 2013-09-12 12:27 | 肥羊宅 ( 路人 | Rank:21 漏洞数:2 | 只是来学习安全知识的……估计抓不出多少漏...)

    盛大给我打过电话了,同意漏洞不公开顺便你们这群看了标题就找到漏洞的魂淡,收手吧,这玩意一封一个准的

  8. 2013-09-12 12:32 | 调情 ( 路人 | Rank:5 漏洞数:2 | 调情小菜,专注getshell,以及注入,upfile)

    @肥羊宅 安卓的吧。

  9. 2013-09-12 12:33 | 肥羊宅 ( 路人 | Rank:21 漏洞数:2 | 只是来学习安全知识的……估计抓不出多少漏...)

    @盛大网络 顺便求把二区那个也解封……那个是我熟人,一起研究抓包的……他蛋疼用小号11连,什么的他都不要,就是号能不能给留着……

  10. 2013-09-12 13:03 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    扩散性百万水表王

  11. 2013-09-12 13:31 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    QWQ 厉害

  12. 2013-09-12 15:02 | 乌龟 ( 路人 | Rank:3 漏洞数:1 | 网络安全爱好者)

    2333

  13. 2013-09-12 15:05 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    @乌龟 ID挺好的

  14. 2013-09-12 15:11 | luw2007 ( 路人 | Rank:1 漏洞数:1 )

    @肥羊宅 被封留名, 表示还未解封。

  15. 2013-09-12 21:33 | 肥羊宅 ( 路人 | Rank:21 漏洞数:2 | 只是来学习安全知识的……估计抓不出多少漏...)

    @盛大网络 @luw2007 泥煤盛大求看私信……坑爹……以及估计左边那位也还死着呢……我还跑不跑的完这期活动了……

  16. 2013-09-13 00:07 | 天际 ( 路人 | Rank:3 漏洞数:1 | 我只是在打酱油)

    @肥羊宅 看我幽怨的眼神

  17. 2013-09-13 17:33 | luw2007 ( 路人 | Rank:1 漏洞数:1 )

    @盛大网络 周末该放假了吧。 看来这期活动赶不上了。

  18. 2013-09-13 20:10 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    玩不起氪金王

  19. 2013-09-14 01:10 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @肥羊宅 我怎么看怎么不平衡,我 擦,我7漏洞8rank,你2漏洞21rank.......求洞主带我...

  20. 2013-09-20 13:16 | 忆闪而过 ( 路人 | Rank:26 漏洞数:6 | 寂寞在唱歌)

    给力