多玩英雄联盟盒子可绑定任意lol角色

漏洞概要

缺陷编号:WooYun-2013-018134

漏洞标题:多玩英雄联盟盒子可绑定任意lol角色

相关厂商:广州多玩

漏洞作者:NiceWorm

提交时间:2013-01-30 20:41

公开时间:2013-03-16 20:42

漏洞类型:非授权访问/认证绕过

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2013-01-30: 细节已通知厂商并且等待厂商处理中
2013-02-01: 厂商已经确认,细节仅向厂商公开
2013-02-04: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2013-03-28: 细节向核心白帽子及相关领域专家公开
2013-04-07: 细节向普通白帽子公开
2013-04-17: 细节向实习白帽子公开
2013-03-16: 细节向公众公开

简要描述:

多玩英雄联盟盒子可绑定任意lol角色,可选择被绑定的YY号是多少以及可绑定任意数量lol角色,可强行绑定已经绑定过的角色.

详细说明:

说下简单思路.大神勿喷.最近打lol,突然发现多玩盒子可以绑定对应的lol角色在YY上显示,于是想有没有办法绑定其他战力高的大神角色,于是开始尝试.开始先点击绑定然后抓包,看发包,发现是经过加密后的数据.

于是拖进OD分析,分析得到的程序绑定流程如下:1。LOLBox.exe先读取Tool.ini里面存的角色数据(登陆过游戏的都有保存在里面)

2。通过程序解码拼接字符串后,得到需要发送的内容

看代码大概就明白了.我们只需要更改具体的角色名和服务器名字就可以达到绑定其他角色的目的了,其中服务器名字和角色名字如果是中文的话需要转码例如:\u7535\u4fe1\u5341\u56db3。程序会把上面的字符串进行加密处理.加密成以下格式:

然后创建进程,参数为:

4.然后YYBind.exe运行,我们可以看到我们修改后的角色信息,然后点绑定,如果角色被别人绑定过,这里会提示绑定已经被绑定,通过修改某个跳转绕过.这样我们就绑定成功了.后记,曾经微博问了下作者,他说这个不算BUG算破解..好吧.我承认也许这个没什么大危害,但是用户量多大的,再加上我也经常用,也希望产品能越做越好大概就这样吧.后来尝试吧角色名字改为<img></img>或者xss语句,发现能解析,但是在YY里面不能弹窗,其他的未仔细测试.其实我觉得危害主要在于可能造成XSS存储,和可以批量绑定lol角色,要是把所有lol玩家角色全部绑定到一个YY上..别人盒子上会显示对应的YY号.

如果把YY号改为XSS语句会怎么样.未测试,因为貌似解除绑定要复杂点.

漏洞证明:

修复方案:

。.你们比我懂.建议有些验证或者判断放在服务器端

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-02-01 14:20

厂商回复:

处理中,谢谢提供。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 O.o 白帽子 | Rank:105 漏洞数:12)

    绑定了还是不能撸出血~

  2. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    有什么用途

  3. 2010-01-01 00:00 顺子 白帽子 | Rank:216 漏洞数:35)

    @广州多玩 我的多玩撸啊撸帐号被之前的yy号绑了。然后呢。那帐号我不知道帐号是多少了。肿么办

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    关注之

  5. 2010-01-01 00:00 九九 白帽子 | Rank:5 漏洞数:4)

    关注之

  6. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    还有xss漏洞呢

  7. 2010-01-01 00:00 苏南同学 白帽子 | Rank:41 漏洞数:5)

    求作者交流,谢谢。