万象大漏洞

（1）
用winhex打开client后，可以看到所有正在使用的卡号和密码！！
winhex可以到www.hanzify.org下载
这个从网上看到。没在网吧实践过。。在网吧的朋友可以测试一下。
万象有史以来“最大”漏洞
漏洞早已经发现，由于一些原因没有说出来，但是现在网上几乎很多人都知道了，不知道晚了没有！
万象大漏洞 2
本人今天在网吧发现了有史以来万*网管软件最大的漏洞，开始在会员框和密码框里都
输入 'or''=' 显示密码错误，然后我又在 “输入临时卡”（注意本人使用的是只能刷卡
上机的万*网管版15.2.40.858版）'or''=' 后按 “上机”，你就可以成功登陆。如果你点
击万象图标选“看我上了多久",上面显示：

您从*****（时间）开始上机，到目前为止您已经上了0分钟，共需要0.1元（网吧不同
显示也不同，因为收费价格不一样）
押金：1.5元(押金显示在不同的网吧显示的也不一样,有的网吧显示的5元)

这个方法我试了我所在几个网吧的几台机子，都有这个漏洞，估计是万象管理软件本身的漏洞.
而且你重启机子以后，那台电脑还会开着，显示押金1.5元。但是当我上了半个小时左右
的时候，上面押金原来显示1.5元，那时却没有了,不显示任何数字,只是空白的。但其它都一切"正常".
还有当你正在玩的时候有可能会锁定(就是在你登陆会员之前的状态),一般会在你上面显示的押金的
钱数到的时候出现锁定,但是你不理会它,你直接把机子重启一下,等开机后奇迹有出现了,机子还会
开着,万*网管软件还会继续和刚才的时间接着"记时" 。用本法上机后整个过程一切和用会员上机
一模一样。

此漏洞是纯属本人偶然发现，但是它是有史以来最大最大的漏洞.本人认为'or''='本是一个
关于asp的sql漏洞,是不是万*也与次有关(纯属本人瞎猜,也许根本无关)。
posted on 2004年09月13日 10:31 PM

?