当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173481

漏洞标题:呈天游手游公司分站命令执行漏洞(涉及游戏数据库)

相关厂商:北京呈天网络科技股份有限公司

漏洞作者: 冰封的心

提交时间:2016-01-29 10:22

修复时间:2016-03-13 18:02

公开时间:2016-03-13 18:02

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

T4GAME呈天游成立于2008年,是一家跨平台网络游戏开发商和运营商,公司致力于为各种平台用户提供最精彩的互动娱乐体验。公司坐落在北京CBD商业区,拥有4200平米的五层独栋办公楼,目前员工300余人。
公司具有国家认证的多项企业资质,产品曾多次获得国内知名奖项
获得软件企业认定证书
中国软件行业协会理事单位
中国软件行业协会游戏软件分会委员单位
北京动漫游戏产业联盟会员单位
中国通信企业协会增值朋务与业委员会会员单位
中关村移劢互联网产业联盟单位
全国信息技术标准化技术委员会游戏标准工作组成员单位
2009-2013年上方网:“手机游戏企业TOP30的奖项”
2010年创业邦:“中国年度创新成长企业100”
清科企业奖项:“最具投资价值移劢互联网50强”
第七届中国移劢互联网TOP50:“第七届中国手机游戏企业10强”
2009~2012年“金翎奖”
2009~2012年“金凤凰奖”
2010、2012 “金手指奖”
2011-2012年中国游戏产业年会:“2011年度中国十大新锐游戏企业
官网:www.t4game.com

详细说明:

mask 区域
1.http://**.**.**


这个分站有Struts2命令执行漏洞,root权限

001.png


找到mysql用户文件,数据库文件中涉及多个数据库:

002.png


解密其中一个进去看看,泄露大量游戏信息

003.png


004.png


不好意思 ,本人小学生,表达能力不是很好,求审核大大通过一下,提交了好几个都没通过,都说是漏洞重复了,大牛们,能让我们小菜留一点吗?我只想默默无闻的赚点Rank 如果这次还没通过,我都不敢提交了

漏洞证明:

mask 区域
1.http://**.**.**


这个分站有Struts2命令执行漏洞,root权限

001.png


找到mysql用户文件,数据库文件中涉及多个数据库:

002.png


解密其中一个进去看看,泄露大量游戏信息

003.png


004.png


不好意思 ,本人小学生,表达能力不是很好,求审核大大通过一下,提交了好几个都没通过,都说是漏洞重复了,大牛们,能让我们小菜留一点吗?我只想默默无闻的赚点Rank 如果这次还没通过,我都不敢提交了

修复方案:

版权声明:转载请注明来源 冰封的心@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:17 (WooYun评价)


漏洞评价:

评价

  1. 2016-03-14 10:42 | 胡阿尤 ( 实习白帽子 | Rank:93 漏洞数:15 | 我比那些所谓的演员更加专业、更加高尚、更...)

    漏洞Rank:17 (WooYun评价) 超过15了,很少见哦。