漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0195383
漏洞标题:QQ空间某第三方游戏敏感信息泄露导致控制全服玩家(可封号/加装备/打广告/任意充值元宝/经验/攻击器百万/瞬间全服第一)
相关厂商:腾讯
漏洞作者: T0n9@X1a0J1e
提交时间:2016-04-12 12:02
修复时间:2016-04-13 15:25
公开时间:2016-04-13 15:25
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
注册不到十分钟,瞬间全服第一。
详细说明:
漏洞地址:
http://s2.app1104922445.qqopenapp.com/
whois查询发现确实是腾讯的域名
反差邮箱发现QQ.com也是这个邮箱注册的...
82端口 发现弱口令
http://s2.app1104922445.qqopenapp.com:82/
发现弱口令:admin 123456
QQ空间游戏地址:
http://my.qzone.qq.com/app/1104922445.html
先注册个测试账号 什么装备都没有
通过后台可查询到我刚刚注册的测试账号
只有一个烂装备 等级也低
后台有福利卡 就是充值卡
拿了一个测试 成功充值
秒到
可任意封人家的账号 27个服
这里可以给你任意你想要的 瞬间全服第一
测试给我自己的号 给了大量攻击和经验 瞬间全服第一
也是秒到 999999叼炸天
6的一逼,一大群崇拜的眼神望过来
这战斗力我还能说什么?
全服第一 不是吹的...
漏洞证明:
我选了一服 人相对来说没有20以上的服人多 避免带来不必要的麻烦和影响
修复方案:
删除掉我的账号吧
我轻轻地来了正如我轻轻地走了,我挥一挥衣袖,只留下全服第一个传说。
版权声明:转载请注明来源 T0n9@X1a0J1e@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-04-13 15:25
厂商回复:
非常感谢您的反馈,经评估报告中反馈的问题并不属于腾讯业务,是第三方业务。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无