【SRC实战】合成类小游戏外挂漏洞

挖个洞先

https://mp.weixin.qq.com/s/ZnaRn222xJU0MQxWoRaiJg

"以下漏洞均为实验靶场,如有雷同,纯属巧合"

合成类小游戏三个特点:

1、一关比一关难,可以参考"羊了个羊"

2、无限关卡无限奖励,可以参考"消灭星星"

3、看广告可以获得道具

01


漏洞证明

一、并发漏洞

"通关奖励太少了,如何获得更多金币?"

1、游戏通关奖励30金币

2、并发数据包

3、并发前35金币,正常情况通关加30金币,数量应该变为65金币

4、并发后数量变为3965金币

二、信息泄露

"游戏第四关开始明显变难,一把游戏十几分钟都通不了,如何作弊速通?"

1、退出游戏,重新进入,返回包存在通关密钥

2、将通关密钥填入到通关数据包game/passStage中即可速通游戏,结合并发漏洞可无限次获取无限金币

三、重放漏洞

"看一次广告获得道具+1,如何获得大量道具?"

1、两个游戏道具

道具二:随机清空一个格子

道具三:打乱顺序重新排列

2、观看广告获取道具

3、请求包中itemType=3代表道具二,itemType=1代表道具三

4、重放数据包,游戏道具无限增加

02


漏洞危害

1、金币可兑换会员等虚拟物品

2、刷道具,减少视频广告收入

相关推荐
云水一下10 小时前
DVWA从入门到精通(十一):XSS (Stored)(存储型XSS)
web安全·xss·dvwa·存储型
Chockmans17 小时前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
四月天431 天前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
技术不好的崎鸣同学2 天前
[MRCTF2020]PYWebsite 思路及解法
安全·web安全
有浔则灵2 天前
网络安全核心知识梳理:从OSI模型到密码技术
网络·安全·web安全
Rocket-Luo2 天前
谈谈企业中的网络安全
网络·安全·web安全
技术不好的崎鸣同学2 天前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
Bruce_Liuxiaowei2 天前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
HackTwoHub3 天前
企业级开源安全利器,整合漏洞管理、基线检查,威胁狩猎、情报联动,适配政企服务器安全运维
运维·服务器·人工智能·安全·web安全·开源·自动化
treesforest19 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全