当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169494

漏洞标题:巨人网络某接口设计不当导致可撞库(已成功撞出大量账号)

相关厂商:巨人网络

漏洞作者: 路人甲

提交时间:2016-01-13 10:07

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-13: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-23: 细节向核心白帽子及相关领域专家公开
2016-02-02: 细节向普通白帽子公开
2016-02-12: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

巨人网络某接口设计不当导致可撞库(已成功撞出大量账号)

详细说明:

http://sy.ztgame.com/index.php?r=site/login
没有验证码没有次数限制密码明文提交

QQ截图20160112222932.png


QQ截图20160112222819.png


账号在主站可以登入

QQ截图20160112223403.png


QQ截图20160112223510.png


QQ截图20160112223610.png


麻烦审核大哥帮打下码

15914924393	19800920
15915710702	duandashan
15916119788	5201314
15917384988	5687679
15917518846	zhouaini520
15918279190	xmailx123
15918592241	251314
15919695120	heshang
15920070116	000007968
15920120171	123064
15920184482	6662060
15920442712	qkhhdnnl
15921111739	210825
15921688362	19880923
15921887776	213632001
15921940470	sjnsjnsjn
15922004205	26812515
15922080331	yangyang21
15931428260	19860625
15933268557	19890901
15935618060	811425
15939185601	8452282
15940137958	heshouyu8
15940156740	sunbin
15944265587	nianqingren521
15944296909	zhaoshuang
1594448	123123
15945118822	chenbaoqi
15945691210	a123a123
15947985505	dong000000
15948333665	xoixoixoi0
15948466726	153264
15949476540	dxd8885736
13773098576	ww880426
15528008906	100952
13813888942	5201313
15312070270	lcc110
15022402242	wang2766
15176999509	5320175
13911995360	y3t8l7g9
18046717277	492558039
18275831641	qq790152988
18810389423	jzp1994122
18817979136	daichao520
15972053552	ywqc868120
13450269483	zzb236415
QQ631140625	7990004
18716474221	1990614
18810008064	6913176
13601049075	gw61891625
15683910801	qq123456
13606091017	8944987
15692240859	350193771
15975377650	84588966
18215604263	5201314asd
18262647895	a1a2a3a4
15268465330	btbv2032
15208385285	13808106671
13720141375	qq86574357
15969830621	sqxzhuzhu25
13851692166	linxin1123
13012651137	198707091058
18328587100	qq123321qq
13306475225	714218306
15222246276	6653106588
18981189601	shangdi8shuai
13881777422	gaowangle
13807408373	2221338a
13662167445	qq26176152
13451988870	qq66536671
15094915290	398452329
15079188823	zhutou520
13815659405	320734924
13760686040	0932313520
13872423005	5530220
15380126856	cql1306480
13246788250	3246306
15102034390	1988817a
13588056221	q1991728
18229248881	q38458326
15659688190	12281600z
18951699030	z19851228
18071732910	85799527
13121417832	6566566a
15801792715	loveshana
18018383531	pp522319
13776288768	pkd602
13674208013	23386546
13938333263	xieyunlei
13908311359	pzxmnb2
18766272766	pzqdebb88
13412348226	a0630904
15999697179	sos007
13544511004	34062706
13570394679	chang1680
13817590041	zxc123
13424943113	jian447360
13598774074	85208520
15158323275	qaz7210066
13511148650	qweqeqe520
15814069671	6912866as
18865508883	qq52642360
18601298466	99177586
15810014111	3155290
18825157562	86796771
18233161127	453127926
15810302575	498981282
13372235286	q7726032
13968394344	19841221
13564047367	qx3406194
13485231275	mei5811056
13689643480	5785787555
15952017814	mwb19910827
15357891040	82720071
18801022210	liXINyu325
13808130932	w5841314127
18955154187	q591144245
15284063771	baoer910
13880639040	p4514068
13038028317	30184129a
13664260514	aizaiaini9
13579496780	d591669899
13295186502	63577802
18608159965	316259569
15267288835	mxw19820622
18686775181	bobo52168
15980212272	lin16824752
15829553365	qu889251
13827766189	136380245
13990713136	19890529
15291415331	82883239
13971450567	nnmnn555
13915993199	wo123000
13548444897	2237475z
13621719584	lvmengwei
13815865114	370659599
13620688354	13620688336a
15191227768	606606520
15951576144	19870802
13551099423	1927384655
13170319998	14106241
13760456009	31403891chen
18666437973	959139qx1423
13550816989	19860514
15528268187	kk4388207
13518142084	584131421
13637404118	caonima1
13665141191	qianfeng
18813905055	vipcll1989
15141703666	99832627
13420252221	hui521531
18260011120	19890721chjun
18954522810	qwer1234
15333902110	suxing123
15914100759	a6518321
15003219636	z4700232
13783471086	yanghu682
13356651119	23268754
15083785749	19900517
15175425215	a13582304013
13856226969	19730902lxf
13812670651	woaini2008
13998715432	zhangbin
13973313915	huhaohan5152
13980695235	812912zxb
13666140681	85601680
13051868840	qq5240219
15575962674	1314520q
13732528757	wojiushiwo
15800713679	peng0623
13813830236	ppqq135115
13003281139	56998167
13761318678	qq4538593
18728460286	robin821201
13088885881	w6326687
13240089940	shijia0091
15005609720	6697129zzx
15887001011	463967646
15998182600	86428641
13551387290	cb25131488
13551369277	z123z321
13671545587	57243063
13097521251	271000158l
18252049468	z764616278
18913203330	xujun1619
18782236019	yb19870913
15994063407	19880407
18661268077	zs520439
15023650367	friend520
13915053572	edison1118
15280778221	klh891206
15029230282	20310715
15921067375	77582258
15926471442	zdp775885
18646546162	88365467
15966852096	147896325
18351888027	chen039n
13592696423	19861105
13184724276	151212872
15058115022	360656721
13917748363	0619890709
14782659750	59142515
18651962769	19881103aa
15248935661	7618837qq
13436102113	1354186331
15961347150	21998492
15170459382	547954539a
15052739682	niaihong86
13766558284	s7610988
18725104810	465461573
18705872835	lms520520
15166391535	241219522
13452387883	6863559277
13581533957	a1b2c3d4
15824100579	liangcheng
13804561837	40953933
18789298573	19850709
18960802903	880914qwe
18062225627	276997159
18049987275	371289308a
15981180012	janmesmu
13469059561	zhudi123
13166488008	13934521351
13764635859	woshiren
18103520087	nocome1986
13668895312	lzp2579426000
15046888581	a7239367
13678736297	gun1989224
15900688500	58453717
13857571316	as7059849
13656352012	02560265
15804005714	86670403
15051957067	6974080qq
13728178277	xiong400
15104560185	19891129
15195561923	6832427123
13944726552	6261856033
18260738729	119899942
13601989561	mengxiao1314
13529099837	lyj2625268
15190165757	wzxb579134682
15121248367	19851023th
18966922642	570688080
13614011398	wozuihuaiA
13885580464	zhangfan
18810802607	8978595t
15004004545	86210222
18975120505	qq4571619
15238383087	as7538691
13558749340	5201314xq
15957856516	87879387
15867957776	20040101
18576411859	510237836
13551359190	82294178
13016084529	password
13918182700	qq901130
15158888784	87061073
15950530247	xyz71025
13512081917	13002202013
13674670795	86514963
15151662022	228435512
18261618971	xiang200816
15902080094	4503692195
13644441070	wangchuang
13861681378	cc890316
18600081678	20010310
18658616688	86865697
13771633681	19890129
13880767545	lxzh2008619
13125160523	zyw584520
15928171774	123456789
18346104106	nihaoxiao
18606582728	aa88293884
13675996117	382480359
13641608505	68926974
13514996533	sphinx920
13585762373	94325920
13265366430	smb123456
15980580315	han891125
15588887219	zxl19891010
15010854877	25257758a
18605126103	cs19811229
13524025005	65507200
18943090079	tank158144
13815860695	kwg19730419
13956491669	xie690924
13908209016	800110cc
15921699859	19830606
18660560030	as147258
15989116401	luoma1989
13920266905	w25295952
18628256638	1312132001
18996111152	510251314
15190500310	a7100452
13510467800	tanhaoran
13911004732	ww05241117
18980050127	348430402
15673618044	3862594170
18621192239	a261303584
15164384414	wanglong1988
13818942020	224942020
18675871621	2689162385
13665224697	zhaosan6
13771871503	xiaoxinyu
13656535358	82332795
13506517705	hejian0578
13802588783	13755774
13841981705	19820317
18983403319	55771288qq
13971491022	darkdark
15223646572	46513568
18621984216	2154216sf
13905272243	mvept8w2
18508109779	13088023649
15051600236	kv01765341
13102751116	as8851221
13580126838	19840111
13820335439	wxl2008wxl
15145112691	002852qq
13761923537	56052534
18742488113	p396838551531249
13151355805	hua5478847
15653717899	34218164
18676664667	ycg483125796
18745002460	wangxiuwen
15213098630	a56912547
15907184930	1303612295
15271879417	02110606
13828665526	q9855365
15958006103	huangyehua
13604272799	lining200
13878120191	q7229205
18983078305	skrrl147
15839368980	z4859708z
15891181639	608048001
13766862883	1981577144
13720202557	87300294
13801491654	huangjie0430
13693429507	1986101241
15022686007	5211314a
13518955688	15156789
13944981858	19861115d

漏洞证明:

http://sy.ztgame.com/index.php?r=site/login
没有验证码没有次数限制密码明文提交

QQ截图20160112222932.png


QQ截图20160112222819.png


账号在主站可以登入

QQ截图20160112223403.png


QQ截图20160112223510.png


QQ截图20160112223610.png


麻烦审核大哥帮打下码

15914924393	19800920
15915710702	duandashan
15916119788	5201314
15917384988	5687679
15917518846	zhouaini520
15918279190	xmailx123
15918592241	251314
15919695120	heshang
15920070116	000007968
15920120171	123064
15920184482	6662060
15920442712	qkhhdnnl
15921111739	210825
15921688362	19880923
15921887776	213632001
15921940470	sjnsjnsjn
15922004205	26812515
15922080331	yangyang21
15931428260	19860625
15933268557	19890901
15935618060	811425
15939185601	8452282
15940137958	heshouyu8
15940156740	sunbin
15944265587	nianqingren521
15944296909	zhaoshuang
1594448	123123
15945118822	chenbaoqi
15945691210	a123a123
15947985505	dong000000
15948333665	xoixoixoi0
15948466726	153264
15949476540	dxd8885736
13773098576	ww880426
15528008906	100952
13813888942	5201313
15312070270	lcc110
15022402242	wang2766
15176999509	5320175
13911995360	y3t8l7g9
18046717277	492558039
18275831641	qq790152988
18810389423	jzp1994122
18817979136	daichao520
15972053552	ywqc868120
13450269483	zzb236415
QQ631140625	7990004
18716474221	1990614
18810008064	6913176
13601049075	gw61891625
15683910801	qq123456
13606091017	8944987
15692240859	350193771
15975377650	84588966
18215604263	5201314asd
18262647895	a1a2a3a4
15268465330	btbv2032
15208385285	13808106671
13720141375	qq86574357
15969830621	sqxzhuzhu25
13851692166	linxin1123
13012651137	198707091058
18328587100	qq123321qq
13306475225	714218306
15222246276	6653106588
18981189601	shangdi8shuai
13881777422	gaowangle
13807408373	2221338a
13662167445	qq26176152
13451988870	qq66536671
15094915290	398452329
15079188823	zhutou520
13815659405	320734924
13760686040	0932313520
13872423005	5530220
15380126856	cql1306480
13246788250	3246306
15102034390	1988817a
13588056221	q1991728
18229248881	q38458326
15659688190	12281600z
18951699030	z19851228
18071732910	85799527
13121417832	6566566a
15801792715	loveshana
18018383531	pp522319
13776288768	pkd602
13674208013	23386546
13938333263	xieyunlei
13908311359	pzxmnb2
18766272766	pzqdebb88
13412348226	a0630904
15999697179	sos007
13544511004	34062706
13570394679	chang1680
13817590041	zxc123
13424943113	jian447360
13598774074	85208520
15158323275	qaz7210066
13511148650	qweqeqe520
15814069671	6912866as
18865508883	qq52642360
18601298466	99177586
15810014111	3155290
18825157562	86796771
18233161127	453127926
15810302575	498981282
13372235286	q7726032
13968394344	19841221
13564047367	qx3406194
13485231275	mei5811056
13689643480	5785787555
15952017814	mwb19910827
15357891040	82720071
18801022210	liXINyu325
13808130932	w5841314127
18955154187	q591144245
15284063771	baoer910
13880639040	p4514068
13038028317	30184129a
13664260514	aizaiaini9
13579496780	d591669899
13295186502	63577802
18608159965	316259569
15267288835	mxw19820622
18686775181	bobo52168
15980212272	lin16824752
15829553365	qu889251
13827766189	136380245
13990713136	19890529
15291415331	82883239
13971450567	nnmnn555
13915993199	wo123000
13548444897	2237475z
13621719584	lvmengwei
13815865114	370659599
13620688354	13620688336a
15191227768	606606520
15951576144	19870802
13551099423	1927384655
13170319998	14106241
13760456009	31403891chen
18666437973	959139qx1423
13550816989	19860514
15528268187	kk4388207
13518142084	584131421
13637404118	caonima1
13665141191	qianfeng
18813905055	vipcll1989
15141703666	99832627
13420252221	hui521531
18260011120	19890721chjun
18954522810	qwer1234
15333902110	suxing123
15914100759	a6518321
15003219636	z4700232
13783471086	yanghu682
13356651119	23268754
15083785749	19900517
15175425215	a13582304013
13856226969	19730902lxf
13812670651	woaini2008
13998715432	zhangbin
13973313915	huhaohan5152
13980695235	812912zxb
13666140681	85601680
13051868840	qq5240219
15575962674	1314520q
13732528757	wojiushiwo
15800713679	peng0623
13813830236	ppqq135115
13003281139	56998167
13761318678	qq4538593
18728460286	robin821201
13088885881	w6326687
13240089940	shijia0091
15005609720	6697129zzx
15887001011	463967646
15998182600	86428641
13551387290	cb25131488
13551369277	z123z321
13671545587	57243063
13097521251	271000158l
18252049468	z764616278
18913203330	xujun1619
18782236019	yb19870913
15994063407	19880407
18661268077	zs520439
15023650367	friend520
13915053572	edison1118
15280778221	klh891206
15029230282	20310715
15921067375	77582258
15926471442	zdp775885
18646546162	88365467
15966852096	147896325
18351888027	chen039n
13592696423	19861105
13184724276	151212872
15058115022	360656721
13917748363	0619890709
14782659750	59142515
18651962769	19881103aa
15248935661	7618837qq
13436102113	1354186331
15961347150	21998492
15170459382	547954539a
15052739682	niaihong86
13766558284	s7610988
18725104810	465461573
18705872835	lms520520
15166391535	241219522
13452387883	6863559277
13581533957	a1b2c3d4
15824100579	liangcheng
13804561837	40953933
18789298573	19850709
18960802903	880914qwe
18062225627	276997159
18049987275	371289308a
15981180012	janmesmu
13469059561	zhudi123
13166488008	13934521351
13764635859	woshiren
18103520087	nocome1986
13668895312	lzp2579426000
15046888581	a7239367
13678736297	gun1989224
15900688500	58453717
13857571316	as7059849
13656352012	02560265
15804005714	86670403
15051957067	6974080qq
13728178277	xiong400
15104560185	19891129
15195561923	6832427123
13944726552	6261856033
18260738729	119899942
13601989561	mengxiao1314
13529099837	lyj2625268
15190165757	wzxb579134682
15121248367	19851023th
18966922642	570688080
13614011398	wozuihuaiA
13885580464	zhangfan
18810802607	8978595t
15004004545	86210222
18975120505	qq4571619
15238383087	as7538691
13558749340	5201314xq
15957856516	87879387
15867957776	20040101
18576411859	510237836
13551359190	82294178
13016084529	password
13918182700	qq901130
15158888784	87061073
15950530247	xyz71025
13512081917	13002202013
13674670795	86514963
15151662022	228435512
18261618971	xiang200816
15902080094	4503692195
13644441070	wangchuang
13861681378	cc890316
18600081678	20010310
18658616688	86865697
13771633681	19890129
13880767545	lxzh2008619
13125160523	zyw584520
15928171774	123456789
18346104106	nihaoxiao
18606582728	aa88293884
13675996117	382480359
13641608505	68926974
13514996533	sphinx920
13585762373	94325920
13265366430	smb123456
15980580315	han891125
15588887219	zxl19891010
15010854877	25257758a
18605126103	cs19811229
13524025005	65507200
18943090079	tank158144
13815860695	kwg19730419
13956491669	xie690924
13908209016	800110cc
15921699859	19830606
18660560030	as147258
15989116401	luoma1989
13920266905	w25295952
18628256638	1312132001
18996111152	510251314
15190500310	a7100452
13510467800	tanhaoran
13911004732	ww05241117
18980050127	348430402
15673618044	3862594170
18621192239	a261303584
15164384414	wanglong1988
13818942020	224942020
18675871621	2689162385
13665224697	zhaosan6
13771871503	xiaoxinyu
13656535358	82332795
13506517705	hejian0578
13802588783	13755774
13841981705	19820317
18983403319	55771288qq
13971491022	darkdark
15223646572	46513568
18621984216	2154216sf
13905272243	mvept8w2
18508109779	13088023649
15051600236	kv01765341
13102751116	as8851221
13580126838	19840111
13820335439	wxl2008wxl
15145112691	002852qq
13761923537	56052534
18742488113	p396838551531249
13151355805	hua5478847
15653717899	34218164
18676664667	ycg483125796
18745002460	wangxiuwen
15213098630	a56912547
15907184930	1303612295
15271879417	02110606
13828665526	q9855365
15958006103	huangyehua
13604272799	lining200
13878120191	q7229205
18983078305	skrrl147
15839368980	z4859708z
15891181639	608048001
13766862883	1981577144
13720202557	87300294
13801491654	huangjie0430
13693429507	1986101241
15022686007	5211314a
13518955688	15156789
13944981858	19861115d

修复方案:

这个你们比我更专业

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-01-13 10:56

厂商回复:

研发埋头修整中

最新状态:

暂无