当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102119

漏洞标题:巴别时代旗下最游戏二之GM后台弱口令

相关厂商:zuiyouxi.com

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-03-18 17:46

修复时间:2015-05-07 14:24

公开时间:2015-05-07 14:24

漏洞类型:后台弱口令

危害等级:高

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-18: 细节已通知厂商并且等待厂商处理中
2015-03-23: 厂商已经确认,细节仅向厂商公开
2015-04-02: 细节向核心白帽子及相关领域专家公开
2015-04-12: 细节向普通白帽子公开
2015-04-22: 细节向实习白帽子公开
2015-05-07: 细节向公众公开

简要描述:

RT

详细说明:

本来应该算是个存储型XSS的 昨晚测试弹框的时候被发现了···今天上午就被厂商修复了 但是有了后台地址 猜解下 竟然进去了
原来的XSS地方是在 游戏 提问 GM 那里

1.png


打到了两个后台 一个是GM的后台 还有一个应该是有人修复时候的后台地址
GM后台地址:http://124.202.133.29/admincp/admin/login
修复的后台地址:http://apixy.zuiyouxi.com:8800/admincp/admin/loginUser/

2.png


这里出现弱口令的是 GM后台

帐号:zuiyouxi
密码:zuiyouxi


3.png


图中圈出来的地方就是昨晚测试的时候留下的···

4.png


5.png


6.png


可查找角色 添加或编辑游戏内公告 以及查询排行等

漏洞证明:

修复方案:

···既然XSS都修复了 怎么还留着一个弱口令呢?

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-03-23 14:23

厂商回复:

此问题已经处理 thx

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-18 18:03 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    关注着哩。

  2. 2015-03-20 12:53 | 无心 ( 路人 | Rank:8 漏洞数:4 | 有时候低头不是认输,是要看清自己的路;仰...)

    我回来了,关注我下,美妞

  3. 2015-05-09 00:20 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    玩个游戏还要到处乱插- - 求插CF。。。