当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133213

漏洞标题:蜗牛游戏某站弱口令(导致可影响旗下8款游戏/修改删除查询各种数据/泄露大量用户身份证手机号等敏感信息)

相关厂商:蜗牛

漏洞作者: M4sk

提交时间:2015-08-11 09:10

修复时间:2015-09-25 10:10

公开时间:2015-09-25 10:10

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-11: 细节已通知厂商并且等待厂商处理中
2015-08-11: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向核心白帽子及相关领域专家公开
2015-08-31: 细节向普通白帽子公开
2015-09-10: 细节向实习白帽子公开
2015-09-25: 细节向公众公开

简要描述:

RT

详细说明:

(PS:首先跟审核大大说下,我之前提交了一个危害不是很大,这里放大了危害 希望可以忽略了前面的这个漏洞http://www.wooyun.org/bugs/wooyun-2015-0133182/trace/6cc8b246ed67652198ed71029ce70119
这里我重新提交了下危害放大的:)
http://gwact.woniu.com/admin/login admin/admin

1.png


2.png


影响游戏 :
黑金
音乐侠
九阴真经
航海世纪
英雄之城2
仙之痕
大三国志
帝国文明
这里影响太多了 我就列举点比较明显的吧 有sql执行 各种功能 删 改 查 都可以 你懂得!危害严重的很!

1.png


可修改数据哦

2.png


泄露大量用户信息

3.png


这里的身份证信息导出来看了一下 有1000多身份证等敏感信息泄露
5000多条盛大账号的回迁数据

5.png


好多SQL不敢乱搞呀~

7.png


么继续了 危害有点大~

漏洞证明:

综上

修复方案:

改!

版权声明:转载请注明来源 M4sk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-11 10:10

厂商回复:

感谢你对蜗牛游戏的支持

最新状态:

暂无