漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141180
漏洞标题:守护者们游戏服务器配置不正确可泄露网站全部数据
相关厂商:守护者们游戏
漏洞作者: 逆流冰河
提交时间:2015-09-16 10:29
修复时间:2015-10-31 10:30
公开时间:2015-10-31 10:30
漏洞类型:应用配置错误
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-31: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
3306,3389全部沦陷
详细说明:
1,http://112.90.224.187/backup/configs.7z 这是配置文件,里面有数据库配置
$config['db'] = array(
'library' => 'database',
'type' => 'mysql',
'host' => isset($_SERVER['db_host']) ? $_SERVER['db_host'] : '127.0.0.1',
'name' => isset($_SERVER['db_name']) ? $_SERVER['db_name'] : 'shouhuzhemen_gm',
'user' => isset($_SERVER['db_user']) ? $_SERVER['db_user'] : 'root',
'password' => isset($_SERVER['db_password']) ? $_SERVER['db_password'] : 'Shzm2015!~',
'pconnect' => false,
'debug' => false,
'prefix' => 'tt_',
);
上面的127.0.0.1就是112.90.224.187
2,先链接mysql吧
数据库很丰富啊
3,连接一下3389,和数据库密码一样
漏洞证明:
如上
修复方案:
Fix
版权声明:转载请注明来源 逆流冰河@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)