当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115748

漏洞标题:网页游戏第一门户站配置不恰当(导致数据泄露)

相关厂商:网页游戏第一门户站

漏洞作者: 路人甲

提交时间:2015-05-29 08:58

修复时间:2015-07-13 09:00

公开时间:2015-07-13 09:00

漏洞类型:任意文件遍历/下载

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

........
求礼物

详细说明:

http://zhaoht.265g.com/go.php
http://zhaoht.265g.com/admincp.php
打开直接下载

)FG2UD0BPO9`C~$CS_Z7N3I.png


整理一下 比较直观 试了一下 有几个错的

[}{~YP9{$8@_2X8Y](B~JGJ.png


成功进去

XJ%U~[GRYC}BNVD)1G__~)1.png


}KNB2O2FTDZ2MF2TR}[(JMY.png


可以直接写个一句话

WOO_BI]TU3M)`4F[[PVY)J1.png


试了一下 不对
然后去别的子域名下载了个

JX$@9[]@6BA0GJOV4VME_3L.png


不知道为什么可以下载 试了几个站 都可以 目测所有的站都可以
连接之

SU1Q{FB@9YJUCK4MOXNC8D4.png


YULN5@VY@41$0~7[}%@_Q2W.png


CKD)W0S4F9L})(ELL010`OL.png


......
一堆数据 点到为止

漏洞证明:

修复方案:

求礼物

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝