当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133213

漏洞标题:蜗牛游戏某站弱口令(导致可影响旗下8款游戏/修改删除查询各种数据/泄露大量用户身份证手机号等敏感信息)

相关厂商:蜗牛

漏洞作者: M4sk

提交时间:2015-08-11 09:10

修复时间:2015-09-25 10:10

公开时间:2015-09-25 10:10

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-11: 细节已通知厂商并且等待厂商处理中
2015-08-11: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向核心白帽子及相关领域专家公开
2015-08-31: 细节向普通白帽子公开
2015-09-10: 细节向实习白帽子公开
2015-09-25: 细节向公众公开

简要描述:

RT

详细说明:

(PS:首先跟审核大大说下,我之前提交了一个危害不是很大,这里放大了危害 希望可以忽略了前面的这个漏洞http://www.wooyun.org/bugs/wooyun-2015-0133182/trace/6cc8b246ed67652198ed71029ce70119
这里我重新提交了下危害放大的:)
http://gwact.woniu.com/admin/login admin/admin

1.png


2.png


影响游戏 :
黑金
音乐侠
九阴真经
航海世纪
英雄之城2
仙之痕
大三国志
帝国文明
这里影响太多了 我就列举点比较明显的吧 有sql执行 各种功能 删 改 查 都可以 你懂得!危害严重的很!

1.png


可修改数据哦

2.png


泄露大量用户信息

3.png


这里的身份证信息导出来看了一下 有1000多身份证等敏感信息泄露
5000多条盛大账号的回迁数据

5.png


好多SQL不敢乱搞呀~

7.png


么继续了 危害有点大~

漏洞证明:

综上

修复方案:

改!

版权声明:转载请注明来源 M4sk@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-11 10:10

厂商回复:

感谢你对蜗牛游戏的支持

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-11 10:11 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @蜗牛 不错 这速度也是66666 支持这样的厂商

  2. 2015-09-11 12:37 | 我不告诉你 ( 路人 | Rank:8 漏洞数:2 | 等想好了再写)

    @M4sk 蜗牛是个好厂商,所以你可以继续挖

  3. 2015-09-25 10:21 | 盛大网络(乌云厂商)

    躺枪 不过蜗牛是个好厂商

  4. 2015-09-25 11:13 | 我不告诉你 ( 路人 | Rank:8 漏洞数:2 | 等想好了再写)

    刚挖了一下域名域名,蜗牛有几百个二三级网站,有20+个 discuz/phpwind老版本的论坛,还有DZ 6.0。。 你们别乱搞,我是雷锋。

  5. 2015-09-25 11:34 | 老实先生 ( 路人 | Rank:7 漏洞数:4 | 早日告别路人状态)

    这后台地址是什么挖到的呢? 我就不行