WooYun.org

地下城堡为中国区iOS付费榜前十的游戏，其iOS版中存在一个上传存档的功能，会将用户目前的游戏数据处理后发往api.dxcb.cn.taojingame.com，这个功能存在逻辑漏洞，可以构造任意存档。
首先通过抓包可以截获到上传存档的流量：

通过反复的尝试上传不同的存档，可以确认data参数代表了存档数据，md5参数是对存档数据的签名，其他参数在短时间内不会改变。
通过逆向程序发现存档数据的变换算法为：
data = urlencode(base64encode(zlib.compress(game_data)))
对data参数的值进行解码可以得到明文的存档数据：

通过修改这些数据，可以构造任意的存档，其中也包含了钻石等付费资源的数据。
存在漏洞的部分是之后的md5签名算法，开发商通过对data参数进行md5签名校验来防止用户篡改存档，但是此处的md5签名算法内嵌在程序代码中，保护强度不够，可以被逆向分析。通过逆向代码我们可以发现md5签名的具体算法：

md5 = md5(zlib.compress(game_data) + secret1 + secret2)
其中secret1硬编码在代码中，为"dxc.taojinhudong.6%&76"。secret2为动态生成，逆向代码无法获得，但是通过对代码的分析我们发现secret2会在同一个流量中被base64encode后发出，作为pwd参数的值，通过对该值进行base64解码我们就可以得到secret2，至此我们已经可以计算出正确的md5值，也就是可以伪造任意的上传存档请求。通过向api.dxcb.cn.taojingame.com发送伪造后的上传存档请求，就可以为自己的账号构造任意的存档，以此来获取大量的资源。