QQ空间某第三方游戏敏感信息泄露导致控制全服玩家(可封号/加装备/打广告/任意充值元宝/经验/攻击器百万/瞬间全服第一)

漏洞地址:

http://s2.app1104922445.qqopenapp.com/

whois查询发现确实是腾讯的域名

反差邮箱发现QQ.com也是这个邮箱注册的...

82端口 发现弱口令

http://s2.app1104922445.qqopenapp.com:82/

发现弱口令：admin 123456

QQ空间游戏地址:

http://my.qzone.qq.com/app/1104922445.html

先注册个测试账号 什么装备都没有

通过后台可查询到我刚刚注册的测试账号

只有一个烂装备 等级也低

后台有福利卡 就是充值卡

拿了一个测试 成功充值

秒到

可任意封人家的账号 27个服

这里可以给你任意你想要的 瞬间全服第一

测试给我自己的号 给了大量攻击和经验 瞬间全服第一

也是秒到 999999叼炸天

6的一逼,一大群崇拜的眼神望过来

这战斗力我还能说什么？

全服第一 不是吹的...

我选了一服 人相对来说没有20以上的服人多 避免带来不必要的麻烦和影响

删除掉我的账号吧

我轻轻地来了正如我轻轻地走了，我挥一挥衣袖，只留下全服第一个传说。

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-04-13 15:25

厂商回复：

非常感谢您的反馈，经评估报告中反馈的问题并不属于腾讯业务，是第三方业务。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无

1. 2016-04-12 12:03 | Noxxx ( 普通白帽子 | Rank:720 漏洞数:60 )

   1

   66666

   1# 回复此人

2. 2016-04-12 12:03 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )

   1

   牛逼 让我第二如何。

   2# 回复此人

3. 2016-04-12 12:05 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

   1

   66666

   3# 回复此人

4. 2016-04-12 12:06 | zsmj ( 普通白帽子 | Rank:243 漏洞数:34 | 蛛丝马迹！)

   1

   牛逼 让我第三如何。

   4# 回复此人

5. 2016-04-12 12:08 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 哇啦啦啦啦啦 我的宝贝 | ..)

   1

   qq农场啊哈哈

   5# 回复此人

6. 2016-04-12 12:25 | 小威 ( 普通白帽子 | Rank:535 漏洞数:87 | 活到老，学到老!)

   1

   牛逼 让我第四如何

   6# 回复此人

7. 2016-04-12 12:27 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

   1

   屠龙宝刀，点击就送

   7# 回复此人

8. 2016-04-12 12:28 | 库日天 ( 路人 | Rank:18 漏洞数:9 )

   1

   屠龙宝刀，点击就送，一定要上60级。。。

   8# 回复此人

9. 2016-04-12 12:28 | 0h1in9e ( 实习白帽子 | Rank:68 漏洞数:23 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

   1

   666

   9# 回复此人

10. 2016-04-12 12:32 | seal ( 路人 | Rank:26 漏洞数:5 | hello world)

    1

    牛逼 让我第五如何

    10# 回复此人

11. 2016-04-12 12:35 | 禽兽放开那妹子 ( 路人 | Rank:30 漏洞数:12 | 本屌就是传说中的天下第一帅逼)

    1

    屠龙宝刀，点击就送

    11# 回复此人

12. 2016-04-12 12:44 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒，就没有什么事是【撸串...)

    1

    无敌了。。。。求送点QB花花

    12# 回复此人

13. 2016-04-12 12:48 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    1

    我现在是全服第一

    13# 回复此人

14. 2016-04-12 12:57 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )

    1

    @从容 抢车位也行。。

    14# 回复此人

15. 2016-04-12 13:08 | 40huo ( 实习白帽子 | Rank:53 漏洞数:19 | 一代枪神)

    1

    让我第六如何

    15# 回复此人

16. 2016-04-12 13:14 | dige ( 路人 | Rank:5 漏洞数:3 | 路虽远，行则必达，事虽难做则必成)

    1

    666666

    16# 回复此人

17. 2016-04-12 13:40 | Agony ( 路人 | Rank:24 漏洞数:12 | you know a cat has nine lives.)

    1

    @小牛牛 QQ求加

    17# 回复此人

18. 2016-04-12 13:43 | 盛大网络(乌云厂商)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    18# 回复此人

19. 2016-04-12 13:52 | 小杰哥 ( 普通白帽子 | Rank:251 漏洞数:35 | 我不是 T0n9 和 的大号！)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    19# 回复此人

20. 2016-04-12 13:54 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    2

    对不起此游戏是第三方游戏 与腾讯游戏无关

    20# 回复此人

21. 2016-04-12 13:58 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 冬眠者)

    1

    系列漏洞了妳

    21# 回复此人

22. 2016-04-12 13:59 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    22# 回复此人

23. 2016-04-12 14:00 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    1

    @Agony ...发你QQ

    23# 回复此人

24. 2016-04-12 14:05 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    24# 回复此人

25. 2016-04-12 14:08 | Agony ( 路人 | Rank:24 漏洞数:12 | you know a cat has nine lives.)

    1

    @小牛牛 二二四四九九零八一四

    25# 回复此人

26. 2016-04-12 14:09 | Agony ( 路人 | Rank:24 漏洞数:12 | you know a cat has nine lives.)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    26# 回复此人

27. 2016-04-12 14:22 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    1

    @Agony 加了。

    27# 回复此人

28. 2016-04-12 14:38 | Gnest ( 路人 | Rank:0 漏洞数:1 | 一地的白帽子)

    1

    屠龙宝刀，点击就送，一定要上60级。。。

    28# 回复此人

29. 2016-04-12 14:56 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    感谢反馈，此问题不在安全部门处理范围，故忽略。

    29# 回复此人

30. 2016-04-12 15:03 | 珈蓝夜宇 ( 普通白帽子 | Rank:242 漏洞数:34 | 人不彻底绝望一次，就不会懂得什么是自己最...)

    1

    您好，该为第三方业务，非腾讯业务。

    30# 回复此人

31. 2016-04-12 15:04 | 小杰哥 ( 普通白帽子 | Rank:251 漏洞数:35 | 我不是 T0n9 和 的大号！)

    1

    您好，该为第三方业务，非腾讯业务。

    31# 回复此人

32. 2016-04-12 15:08 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    1

    您好，此问题已通过其他渠道获悉，安全人员正在处理，和腾讯相关的任何漏洞欢迎提交，我们会有专人处理。

    32# 回复此人

33. 2016-04-12 15:25 | 我是你半夜时的灵魂 ( 路人 | Rank:0 漏洞数:1 | 我是你半夜时的灵魂。)

    1

    您好，该为第三方业务，非腾讯业务

    33# 回复此人

34. 2016-04-12 15:33 | shlhack‘s bother ( 普通白帽子 | Rank:395 漏洞数:138 | 以前有个梦，后来我醒了)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    34# 回复此人

35. 2016-04-12 15:40 | DMZLab ( 路人 | Rank:3 漏洞数:2 | dmzlab)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    35# 回复此人

36. 2016-04-12 20:40 | 老虎 ( 路人 | Rank:0 漏洞数:3 | 低调)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    36# 回复此人

37. 2016-04-13 16:16 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)

    1

    就这样公开啦

    37# 回复此人

38. 2016-04-13 16:23 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )

    1

    哈哈。。。。

    38# 回复此人

39. 2016-04-13 16:24 | zsmj ( 普通白帽子 | Rank:243 漏洞数:34 | 蛛丝马迹！)

    1

    太残暴了，16亿的攻击伤害。。。打到腾讯脸上不知道疼不疼

    39# 回复此人

40. 2016-04-13 16:55 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )

    1

    @zsmj 关键是有吗？

    40# 回复此人

41. 2016-04-13 20:08 | Alsn ( 实习白帽子 | Rank:52 漏洞数:8 | 在茫茫的网络海洋中，寻找那双正义，正能量...)

    1

    那你修复干嘛？无影响！

    41# 回复此人

42. 2016-04-13 20:08 | Hax0rs ( 实习白帽子 | Rank:65 漏洞数:13 | Hax0rs)

    1

    留着给小学生加装备玩吧..

    42# 回复此人

43. 2016-04-13 20:32 | shlhack‘s bother ( 普通白帽子 | Rank:395 漏洞数:138 | 以前有个梦，后来我醒了)

    1

    非常感谢您的反馈，经评估报告中反馈的问题并不属于腾讯业务，是第三方业务。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。

    43# 回复此人

44. 2016-04-13 20:49 | Mr.R ( 实习白帽子 | Rank:54 漏洞数:15 | 求大神带我飞 qq2584110147)

    1

    @小杰哥 你为何这么吊

    44# 回复此人

45. 2016-04-13 22:47 | 1993* ( 实习白帽子 | Rank:34 漏洞数:10 | hacked by 菜菜（H）)

    1

    真是6的一逼！

    45# 回复此人

46. 2016-04-14 10:33 | 小田哥哥 ( 路人 | Rank:2 漏洞数:1 | 不是所有牛奶都叫特仑苏，不是每个人我都叫...)

    1

    危害等级：无影响厂商忽略

    46# 回复此人

47. 2016-04-14 15:55 | 习总夸我好青年 ( 路人 | Rank:2 漏洞数:1 | 刚来的,请多关照)

    1

    6666666666666666

    47# 回复此人

48. 2016-04-14 22:03 | 屠龙宝刀点击就送 ( 路人 | Rank:4 漏洞数:2 | 简要介绍不能为空)

    1

    楼主快帮我实现多年的愿望。

    48# 回复此人

49. 2016-04-15 14:34 | Hslim ( 路人 | Rank:14 漏洞数:4 | 憋说话)

    1

    非常感谢您的反馈，经评估报告中反馈的问题并不属于腾讯业务，是第三方业务。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。

    49# 回复此人

50. 2016-04-15 18:27 | N0Hacker ( 路人 | Rank:8 漏洞数:2 | N0Hacker)

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    50# 回复此人

51. 2016-04-15 23:15 | 冒泡 ( 路人 | Rank:8 漏洞数:3 )

    1

    对不起此游戏是第三方游戏 与腾讯游戏无关

    51# 回复此人

52. 2016-04-15 23:26 | Lonely ( 实习白帽子 | Rank:80 漏洞数:30 | 人生如梦,始终都游不过当局者迷的悲哀。)

    1

    都别跟风了有啥意思呢 人家腾讯公司规模庞大一句话就是天 我们就是一万句 顶多是个屁 跟的没意思 求大神 干掉 www.qq.com 看腾讯还敢不敢说对不起此网站是第三方网站 与腾讯网站无关

    52# 回复此人

53. 2016-04-16 18:02 | wsg00d ( 普通白帽子 | Rank:187 漏洞数:20 | 有一天， 我去世了， 恨我的人， 翩翩起舞...)

    1

    叼炸天

    53# 回复此人

54. 2016-04-18 12:17 | 菜鸟小Q ( 普通白帽子 | Rank:205 漏洞数:56 | 坚定自己的信仰并一直做下去......)

    0

    这个牛

    54# 回复此人

55. 2016-04-19 16:04 | 咖啡 ( 实习白帽子 | Rank:62 漏洞数:23 )

    0

    这特么玩起游戏来爽high了

    55# 回复此人

56. 2016-04-22 16:24 | Budi ( 普通白帽子 | Rank:213 漏洞数:44 | 希望能成为一个合格的白帽子，不断完善自己...)

    0

    楼主，淡定

    56# 回复此人

57. 2016-04-25 10:07 | July ( 路人 | Rank:29 漏洞数:11 | 红星闪闪)

    0

    6666

    57# 回复此人

58. 2016-05-05 09:09 | 达子 ( 路人 | Rank:6 漏洞数:3 | 寒冷到了极致，太阳就要光临)

    0

    对不起此游戏是第三方游戏 与腾讯游戏无关

    58# 回复此人