当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132278

漏洞标题:游奇网络半夜捣入后台(可封禁100多万用户/官方任意消息推送/屌丝福音之礼包随意发和土豪账号随意登陆)

相关厂商:上海游奇网络有限公司

漏洞作者: M4sk

提交时间:2015-08-07 09:44

修复时间:2015-08-12 09:46

公开时间:2015-08-12 09:46

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-07: 细节已通知厂商并且等待厂商处理中
2015-08-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT 我知道你们肯能会忽略的! :)

详细说明:

Title :
location : http://gamemanager.uqee.com/allOperFeedBack_10_1.html
toplocation : http://gamemanager.uqee.com/operator.html
cookie : JSESSIONID=283AEAC519142B236F9584C9961C5C7F; C984B12070BE13E2=D8209FECA3D17CE2; 7B8B1B2486947226=1B422BBF9F8EDD7A; D7601E68E2E54633=8F576D08B3D0258BA2C183E1432006A47F11307FEDBBE86FDBBC37A72C801A91BDA14DA9184FAA5B98BBD5FE134D3FF2; DF3C24E5CB84DA14=1B422BBF9F8EDD7A; pgv_pvi=5511236608; pgv_si=s5006413824; uqe_adminauth=ec09kzoNh016%2B9z1flIHmEleNQfdiVe3H8WpNNvBCvFIYRz3TNuI2IV41Fty6wxuBw%2FRhgvkOwLYni9jC61lFBE; 31D0E0A8143B0F57=0A75DA0296DF5F3A; 62E9ED1CB4514B40=23A479A7F304DAED; 4AF2A793170DDD79=16C818C642B014E11D297AA09D3336FE231E22B7AC6EB09C42F44DDB5CE9A316
opener :
HTTP_REFERER : http://gamemanager.uqee.com/allOperFeedBack_10_1.html
HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
REMOTE_ADDR : 101.95.5.22


捣入后台:
可控制2款游戏的后台

5.png


呵呵这么多服务器

7.png


影响2款游戏 也就是说可以封禁这2款游戏中的 任意玩家 全部封了这还玩个毛了~
呵呵可给游戏APP推送任意信息哦 当然下面的也可以任意发送邮件的

2.png


封禁任意玩家

3.png


通过BBS注册量来看 存在100多万用户
http://bbs.uqee.com/space-uid-1480633.html
UID可以显示出来用户量 148万
感觉去掉个几十万假用户吧 也有个100多万用户
这里还可查询 禁止发言 冻结账号 登陆游戏

9.png


当然我还可以登陆任意玩家的游戏哦~

8.png


呵呵懒得找什么好账号看看了~
睡觉!、、、
·

漏洞证明:

综上

修复方案:

过滤!

版权声明:转载请注明来源 M4sk@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-12 09:46

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无