WooYun.org

入侵前所收集到的信息：
1、根据 WooYun: 盛大百万亚瑟王支付漏洞，一分钱充MC 了解到官网使用了ThinkPHP框架等。
2、之前通过搜索引擎获得后台入口：http://mam.sdo.com/index.php?g=Admin&m=Index（现在似乎搜不到了，但猜解等其他方式也不是没可能获得此入口）
第一阶段（也就是之前提交未通过的那个“盛大百万亚瑟王"Ma官网后台"绕过IP检测（可穷举）”）：
1、登陆后台，提示“IP限制”，有被外围安全系统保护
2、尝试由应用层绕过，无果，放弃
3、稍作了解或得知大多数盛大的站点都被“统一安全系统”（似乎是这名字）保护
4、通过所知信息，经过尝试惊现此入口http://api.mam.sdo.com/index.php?g=Admin&m=Index（似乎游戏服务器也是这个域名）
5、尝试登陆

此阶段获得以下关键信息：
1、登陆验证会返回用户是否存在（算用户名穷举漏洞了，无验证码及尝试登陆限制等）
2、查看HTML代码发现用户名表单名为email，那么用户名格式即为邮箱地址？（后续测试发现确实如此）
第二阶段（通过收集到的信息发现系统存在“ThinkPHP SQL注射”漏洞，可用户名注射）：
1、尝试常见弱口令登陆，无果（这里我漏过了一个很容易想到的用户名，后面会提到）
2、尝试ThinkPHP框架的命令行执行漏洞（必然没戏，事实也确实如此）
3、通过搜索，发现ThinkPHP框架似乎有个比较隐秘的注入漏洞，在用户名处进行尝试。

返回“账号或密码错误”而不是帐户不存在
此阶段获得以下关键信息：
1、存在ThinkPHP SQL注射漏洞，位置为登陆页面用户名处
第三阶段（盲注获得管理员帐号）：
1、之前通过HTML代码得知用户名表单名为email，密码表单名为pwd，经过测试发现数据库中字段名亦是如此。
2、构造SQL语句，进行盲注
3、写了份脚本，跑出以下信息（id为10的帐户信息是由于前者密码MD5无法破解故再盲注获得）

id=1
[email protected]
pwd=b8ad13f4c999d14c992ad15fe46a8301
id=10
[email protected]
pwd=87d910d874d56821bd06a5f2eaccf9c6

（[email protected]，好吧，你赢了，我本来应该能猜出这个的）
4、根据格式很容易发现是MD5加密，遂解之！
5、第二个帐号的密码为“yushutan”（这条MD5是某站的收费信息，你又赢了，喵的浪费钱了竟然这么简单，不过加密方式是二次MD5，不过你这邮箱竟然官网上有！http://ma.sdo.com/web1/data/business.asp看来即便没有注入漏洞也是可以猜解出来的）
6、登陆成功
各页面看了下，未发现明显可近一步入侵的漏洞，但是这个注入点稍加利用估计可以直接拿下服务器吧。
另外，发现似乎此站和ma.sdo.com似乎数据并不共享，但是游戏支付接口是在此站点，继续花时间深入估计可以再挖点有意思的东西出来。
最后，该服务器还开着8000端口，尚不清楚作何用。
P.s. 有礼物咩？乃们坑了咱那么多茶了，这期排位咱没茶喝了咋办~