WooYun.org

分站存在遍历漏洞，各类日志泄漏····还泄漏客户端调用的接口文件···如果知道具体参数，可以进行越权操作
首先是（用户/代理？）充值记录，泄漏了不少手机和邮箱啊····

还有订单号····
然后就是通过软件抓包，发现客户端的操作都是通过该目录下的文件操作，包括一些敏感操作，如充值，生成卡密之类的···

找回密码的手机验证码是5位数····，不知道可以爆破吗····
根据搜索引擎还获取到一个页面
http://kami.sududa.com/tiqu/Tiqo.aspx?OrderID=703031234437911&Customer=malao002

目测是某种卡密····http://kami.sududa.com/tiqu/Tiqo.aspx?OrderID=703031234437911&Customer=malao002

网站管理员的信息也测漏了···
http://exe.sududa.com/exe/AgentManage.aspx

http://exe.sududa.com/exe/[email protected]根据之前抓包的参数，[email protected]随便乱试了几个文件，发现有个文件好像可以读取代理商的信息。
还有一个目测是转账还啥的····
http://exe.sududa.com/exe/TenpayShow.aspx
接口太多了·不一一列举，有心人可以根据客户端抓包获取更多参数···
看了一下，目测速度达还蛮出名的。