当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045341

漏洞标题:扩散性百万亚瑟王-官网后台管理系统(后台漏洞)

相关厂商:盛大游戏

漏洞作者: Tang

提交时间:2013-12-09 10:48

修复时间:2014-01-23 10:49

公开时间:2014-01-23 10:49

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-09: 细节已通知厂商并且等待厂商处理中
2013-12-09: 厂商已经确认,细节仅向厂商公开
2013-12-19: 细节向核心白帽子及相关领域专家公开
2013-12-29: 细节向普通白帽子公开
2014-01-08: 细节向实习白帽子公开
2014-01-23: 细节向公众公开

简要描述:

昨天提交的http://www.wooyun.org/bugs/wooyun-2013-045242的续集。
后台存在越权、XSS漏洞,若被外部(或内部人员)利用,则可以获得大量用户数据。

详细说明:

之前盛大回复到关于后台系统安全性的问题,于是今天继续深入进行了测试,遂发现两处可造成影响的漏洞。
考虑到此后台可能为内部通用性软件,影响可以更大。
后台地址为:

http://api.mam.sdo.com/index.php?g=Admin&m=Index


对m参数进行猜解发现:

http://api.mam.sdo.com/index.php?g=Admin&m=Admin


访问后发现竟然存在越权,可随意修改其他帐户的密码。
进一步观察,猜解出了:

http://api.mam.sdo.com/index.php?g=Admin&m=Admin&a=addAdmin


可随意添加帐户
联系到盛大后,获得授权。
观察了下超级管理员权限的管理页面,发现全部未做授权,任何管理员均可访问敏感信息(猜解访问地址,并不困难,关键词都是常用单词),包括所有MA游戏帐号等。
另外,文章管理处存在存储型XSS漏洞,直接使用HTML代码模式即可。
最后,存在一处报错:

http://api.mam.sdo.com/index.php?g=Admin&m=News&a=Add

漏洞证明:

未授权访问:

1.jpg


4.jpg


存储型XSS:

2.jpg


报错:

5.jpg

修复方案:

1、授权
2、kindeditor

版权声明:转载请注明来源 Tang@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-12-09 11:55

厂商回复:

确实存在管理员和超级管理员傻傻分不清楚的情况,对开发回复"都是管理员"也相当无语!谢谢报告!

最新状态:

2013-12-09:补充一下:kindeditor 我们是统一上传到图片服务器

漏洞评价:

评论

  1. 2014-01-24 12:58 | 木马游民 ( 路人 | Rank:17 漏洞数:8 | I love LSD!)

    都是管理员.....