盛大游戏《超级跑跑》某活动系统未授权访问引发蝴蝶效应之一(涉及大量激活码、玩家数据)

通过 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 ，我们可以通过脚本批量获取所有接入盛大统一应用管理平台的后台管理地址。经过确认，目前最新的后台应用id为3373。

如果只获取到很少数量的后台地址，那么没什么意义，因为这些后台业务都需要经过UAM的验证才能登入，否则都做未授权处理而被跳出。

但是， WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 可以获取到大规模的后台地址，完全可以根据这些数据做出一些分析，然后举一反三。

从这些后台地址可以分析出，盛大各大游戏平台的活动应用相当多，达到一千多个。这么多数量的活动，运维难免会出现一些疏忽。而 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 获取到的后台地址是实时更新的，甚至包含前台未上线活动，那么完全可以猜测是否存在一般测试系统常见问题，如弱口令、未授权访问等。

通过对这些后台地址进行遍历，发现http://act.pao.sdo.com/project/140811zhlj/admin/存在未授权访问。

用户资料不贴。你们自己清楚。

通过查看cookies发现，它对应的session path为站点根目录，而不是该应用路径。

那么我们猜测，是否可以通过这个已经授权的session登录其它同域名下未授权登录的后台？

和《最终幻想14》步骤一样，于是从获取到的所有后台列表内查找act.pao.sdo.com且以asp编程的后台，找到13个相关后台。

http://act.pao.sdo.com/project/0910jinqiu/admin
 http://act.pao.sdo.com/project/140707maidong/admin
 http://act.pao.sdo.com/project/140627zh/admin
 http://act.pao.sdo.com/project/140516card/admin
 http://act.pao.sdo.com/project/140318lovenew/admin/
 http://act.pao.sdo.com/project/v83/admin/
 http://act.pao.sdo.com/project/111014pk/admin/
 http://act.pao.sdo.com/project/101229/admin
 http://act.pao.sdo.com/project/100601tr/admin
 http://act.pao.sdo.com/project/100510_3year/Admin
 http://act.pao.sdo.com/project/turntable/admin/
 http://act.pao.sdo.com/project/CallFriend/admin
 http://act.pao.sdo.com/project/090807lm/admin

这里有个细节，即使你有漏洞系统生成的session，如果直接访问这些后台，依然会跳转到UAM认证界面，我们需要绕一下。刚才挖掘发现一个通用问题，盛大所有以asp编程的活动平台的后台menu.asp文件均存在未授权访问，所以我们需要先访问待检测系统的menu.asp，才能进入后台系统。

于是这几个原本安全、需要统一验证才能登录的后台，由于这个未授权访问产生的session，全部变成未授权访问了。

通过 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 ，我们可以通过脚本批量获取所有接入盛大统一应用管理平台的后台管理地址。经过确认，目前最新的后台应用id为3373。

如果只获取到很少数量的后台地址，那么没什么意义，因为这些后台业务都需要经过UAM的验证才能登入，否则都做未授权处理而被跳出。

但是， WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 可以获取到大规模的后台地址，完全可以根据这些数据做出一些分析，然后举一反三。

从这些后台地址可以分析出，盛大各大游戏平台的活动应用相当多，达到一千多个。这么多数量的活动，运维难免会出现一些疏忽。而 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 获取到的后台地址是实时更新的，甚至包含前台未上线活动，那么完全可以猜测是否存在一般测试系统常见问题，如弱口令、未授权访问等。

通过对这些后台地址进行遍历，发现http://act.pao.sdo.com/project/140811zhlj/admin/存在未授权访问。

用户资料不贴。你们自己清楚。

通过查看cookies发现，它对应的session path为站点根目录，而不是该应用路径。

那么我们猜测，是否可以通过这个已经授权的session登录其它同域名下未授权登录的后台？

和《最终幻想14》步骤一样，于是从获取到的所有后台列表内查找act.pao.sdo.com且以asp编程的后台，找到13个相关后台。

http://act.pao.sdo.com/project/0910jinqiu/admin
 http://act.pao.sdo.com/project/140707maidong/admin
 http://act.pao.sdo.com/project/140627zh/admin
 http://act.pao.sdo.com/project/140516card/admin
 http://act.pao.sdo.com/project/140318lovenew/admin/
 http://act.pao.sdo.com/project/v83/admin/
 http://act.pao.sdo.com/project/111014pk/admin/
 http://act.pao.sdo.com/project/101229/admin
 http://act.pao.sdo.com/project/100601tr/admin
 http://act.pao.sdo.com/project/100510_3year/Admin
 http://act.pao.sdo.com/project/turntable/admin/
 http://act.pao.sdo.com/project/CallFriend/admin
 http://act.pao.sdo.com/project/090807lm/admin

这里有个细节，即使你有漏洞系统生成的session，如果直接访问这些后台，依然会跳转到UAM认证界面，我们需要绕一下。刚才挖掘发现一个通用问题，盛大所有以asp编程的活动平台的后台menu.asp文件均存在未授权访问，所以我们需要先访问待检测系统的menu.asp，才能进入后台系统。

于是这几个原本安全、需要统一验证才能登录的后台，由于这个未授权访问产生的session，全部变成未授权访问了。

·自求多福。

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-10-29 09:59

厂商回复：

谢谢报告！

最新状态：

2014-10-29：

1. 2014-10-29 09:58 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

   1

   厂商回应： 危害等级：高 漏洞Rank：20 确认时间：xxxxxxxxxxxx 厂商回复： 收到，着手进行解决，THX

   1# 回复此人

2. 2014-10-29 10:13 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

   0

   打脸成功，坐等裤子，我可以偷着乐么。。。

   2# 回复此人

3. 2014-11-16 12:23 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

   1

   3king怒了

   3# 回复此人

4. 2014-12-19 00:36 | zzzzz ( 路人 | Rank:22 漏洞数:2 | xx)

   1

   继续打脸

   4# 回复此人