游奇网络半夜捣入后台(可封禁100多万用户/官方任意消息推送/屌丝福音之礼包随意发和土豪账号随意登陆)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0132278

漏洞标题：游奇网络半夜捣入后台(可封禁100多万用户/官方任意消息推送/屌丝福音之礼包随意发和土豪账号随意登陆)

漏洞作者： M4sk

提交时间：2015-08-07 09:44

修复时间：2015-08-12 09:46

公开时间：2015-08-12 09:46

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-07：细节已通知厂商并且等待厂商处理中
2015-08-12：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT 我知道你们肯能会忽略的！ :)

详细说明：

Title :
location : http://gamemanager.uqee.com/allOperFeedBack_10_1.html
toplocation : http://gamemanager.uqee.com/operator.html
cookie : JSESSIONID=283AEAC519142B236F9584C9961C5C7F; C984B12070BE13E2=D8209FECA3D17CE2; 7B8B1B2486947226=1B422BBF9F8EDD7A; D7601E68E2E54633=8F576D08B3D0258BA2C183E1432006A47F11307FEDBBE86FDBBC37A72C801A91BDA14DA9184FAA5B98BBD5FE134D3FF2; DF3C24E5CB84DA14=1B422BBF9F8EDD7A; pgv_pvi=5511236608; pgv_si=s5006413824; uqe_adminauth=ec09kzoNh016%2B9z1flIHmEleNQfdiVe3H8WpNNvBCvFIYRz3TNuI2IV41Fty6wxuBw%2FRhgvkOwLYni9jC61lFBE; 31D0E0A8143B0F57=0A75DA0296DF5F3A; 62E9ED1CB4514B40=23A479A7F304DAED; 4AF2A793170DDD79=16C818C642B014E11D297AA09D3336FE231E22B7AC6EB09C42F44DDB5CE9A316
opener :
HTTP_REFERER : http://gamemanager.uqee.com/allOperFeedBack_10_1.html
HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
REMOTE_ADDR : 101.95.5.22

捣入后台：
可控制2款游戏的后台

呵呵这么多服务器

影响2款游戏也就是说可以封禁这2款游戏中的任意玩家全部封了这还玩个毛了~
呵呵可给游戏APP推送任意信息哦当然下面的也可以任意发送邮件的

封禁任意玩家

通过BBS注册量来看存在100多万用户
http://bbs.uqee.com/space-uid-1480633.html
UID可以显示出来用户量 148万
感觉去掉个几十万假用户吧也有个100多万用户
这里还可查询禁止发言冻结账号登陆游戏

当然我还可以登陆任意玩家的游戏哦~

呵呵懒得找什么好账号看看了~
睡觉！、、、
·

漏洞证明：

综上

修复方案：

过滤！

版权声明：转载请注明来源 M4sk@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-08-12 09:46

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

2015-08-07 09:45 | king7 ( 普通白帽子 | Rank:485 漏洞数:101 | 长期1:7回收WB,手续费协商,个位数到三位数...)

表哥，我就问问你出不出WB。
2015-08-07 20:35 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

忽略得好整齐
2015-08-12 13:34 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远，还需要厂商和白帽...)

虽然漏洞忽略了我已经私下告诉厂商了然后我也不懂了~ ：)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0132278

漏洞标题：游奇网络半夜捣入后台(可封禁100多万用户/官方任意消息推送/屌丝福音之礼包随意发和土豪账号随意登陆)

相关厂商：上海游奇网络有限公司

漏洞作者： M4sk

提交时间：2015-08-07 09:44

修复时间：2015-08-12 09:46

公开时间：2015-08-12 09:46

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 M4sk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0132278

漏洞标题：游奇网络半夜捣入后台(可封禁100多万用户/官方任意消息推送/屌丝福音之礼包随意发和土豪账号随意登陆)

相关厂商：上海游奇网络有限公司

漏洞作者： M4sk

提交时间：2015-08-07 09:44

修复时间：2015-08-12 09:46

公开时间：2015-08-12 09:46

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0132278"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 M4sk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：