QQ空间某第三方游戏敏感信息泄露导致GetShell可控制多个游戏全服玩家(可封号/加装备/打广告/任意充值元宝/经验/攻击器百万/还是瞬间全服第一)

泄露信息

http://s2.app1104922445.qqopenapp.com:82/System/ServerEdit/1
 admin
 123456

数据库配置信息

server=127.0.0.1;database=hdsg_server_1;uid=sa;pwd=Tk4ccs##2015;

发现数据库连接信息 且开了外联

cmd查找路径 直接写shell

shell地址:
 http://s2.app1104922445.qqopenapp.com:82/t.aspx

主机信息

处于内网

数据库信息

另外一个游戏的用户数据 <<太阁立志2>>

http://tk2.ya247.com

QQ空间游戏 好多三国 的数据 用户信息 5600多个玩家

大量的玩家信息，想要啥都可以从数据库添加

可操作数据库 给VIP

我轻轻地来了正如我轻轻地走了，我挥一挥衣袖，只留下另外一个游戏全服第一的传说。

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-04-13 15:25

厂商回复：

非常感谢您的反馈，经评估报告中反馈的问题并不属于腾讯业务，是第三方业务。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无

1. 2016-04-12 13:23 | shlhack‘s bother ( 普通白帽子 | Rank:395 漏洞数:138 | 以前有个梦，后来我醒了)

   1

   1楼

   1# 回复此人

2. 2016-04-12 13:26 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )

   1

   三楼

   2# 回复此人

3. 2016-04-12 13:27 | 沦沦 ( 普通白帽子 | Rank:651 漏洞数:149 | 爱老婆，爱生活|脚步不能停要一直向前走【...)

   1

   66666

   3# 回复此人

4. 2016-04-12 13:29 | F4ther ( 实习白帽子 | Rank:42 漏洞数:13 | 有些人挖洞就是为了挖洞。仅此而已。)

   1

   66666

   4# 回复此人

5. 2016-04-12 13:29 | 土豆没有皮 ( 路人 | Rank:4 漏洞数:1 | 野生白帽子)

   1

   真的假的，给我来点游戏币

   5# 回复此人

6. 2016-04-12 13:31 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )

   1

   运维人员已经开除

   6# 回复此人

7. 2016-04-12 13:31 | mango ( 核心白帽子 | Rank:2185 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

   1

   然后你几万块没了 哎

   7# 回复此人

8. 2016-04-12 13:32 | 沦沦 ( 普通白帽子 | Rank:651 漏洞数:149 | 爱老婆，爱生活|脚步不能停要一直向前走【...)

   1

   @mango 哈哈

   8# 回复此人

9. 2016-04-12 13:33 | 木易 ( 普通白帽子 | Rank:347 漏洞数:70 | 不，，不要误会，我不是针对谁，我是说在座...)

   1

   再来个

   9# 回复此人

10. 2016-04-12 13:36 | scanf ( 核心白帽子 | Rank:1694 漏洞数:238 | 。)

    1

    最近风起云涌啊 得跟上.@mango

    10# 回复此人

11. 2016-04-12 13:42 | 牛 小 帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

    1

    小牛牛 这个二笔提交的?

    11# 回复此人

12. 2016-04-12 13:44 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒，就没有什么事是【撸串...)

    1

    这回是getshell ?!!!! 他们都要什么游戏币，我不要， 我要裤子~！~ 哈哈哈哈

    12# 回复此人

13. 2016-04-12 13:45 | 泛海扬帆 ( 实习白帽子 | Rank:99 漏洞数:27 | 广告位招商 Tel:136xxxxxxxx)

    1

    CCTV看这里。。。。。。。

    13# 回复此人

14. 2016-04-12 13:53 | mango ( 核心白帽子 | Rank:2185 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

    1

    @scanf 好好考试~ 回来撸站~

    14# 回复此人

15. 2016-04-12 13:54 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    15# 回复此人

16. 2016-04-12 13:57 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 冬眠者)

    1

    diao

    16# 回复此人

17. 2016-04-12 14:42 | 丶小蓝丶 ( 路人 | Rank:3 漏洞数:1 | 小白)

    1

    啥游戏这么大的漏洞啊~

    17# 回复此人

18. 2016-04-12 14:55 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    。。。这标题真长

    18# 回复此人

19. 2016-04-12 15:21 | 淡茶de清香 ( 路人 | Rank:2 漏洞数:1 | 收集)

    1

    。。。这标题真长

    19# 回复此人

20. 2016-04-13 16:31 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

    1

    @随风的风 啊哈哈哈，神预言

    20# 回复此人

21. 2016-04-13 16:34 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    1

    .......草真忽略了

    21# 回复此人

22. 2016-04-13 16:51 | phoenixne ( 普通白帽子 | Rank:294 漏洞数:106 | 小本毕业，向各位学习)

    1

    不是腾讯的，然而 地址无法打开了。

    22# 回复此人

23. 2016-04-13 20:50 | 小白猫 ( 路人 | Rank:30 漏洞数:11 | <script>alert(/xss/)</script>)

    1

    求年费会员黄钻超级QQ绿钻蓝钻粉钻黑钻紫钻

    23# 回复此人

24. 2016-04-13 22:13 | 泛海扬帆 ( 实习白帽子 | Rank:99 漏洞数:27 | 广告位招商 Tel:136xxxxxxxx)

    2

    以后腾讯的空间业务不要提交了，都说是第三方租用的场地。。。还不如放出去

    24# 回复此人

25. 2016-04-14 10:32 | 1c3z ( 普通白帽子 | Rank:307 漏洞数:64 | @)!^)

    1

    标题真长

    25# 回复此人

26. 2016-04-16 17:13 | ANS5 ( 普通白帽子 | Rank:349 漏洞数:107 | 此心安处是吾乡)

    1

    sb厂商，你不是说不是你的漏洞么？那你怎么有权限修复？不是忽略了么？修复个屁！

    26# 回复此人

27. 2016-04-16 17:26 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    1

    忽略，还不如放出去给黑产的。哈哈。（戏谑之言，不要深究）

    27# 回复此人

28. 2016-04-22 16:21 | Budi ( 普通白帽子 | Rank:213 漏洞数:44 | 希望能成为一个合格的白帽子，不断完善自己...)

    0

    忽略，楼主亏了啊

    28# 回复此人

29. 2016-05-01 22:22 | pw0 ( 路人 | Rank:7 漏洞数:2 | 爱推理，爱计算机，爱社工，爱挖有（wei）...)

    0

    楼主在找到类似的洞不要提交了我们大家一起玩玩

    29# 回复此人