krumoist/applemc-full-disclosure
GitHub: krumoist/applemc-full-disclosure
针对印度最大 Minecraft 服务器网络 AppleMC 的授权红队渗透测试完整披露报告,记录了横跨 7 个域名的 31 个漏洞及其攻击链。
Stars: 1 | Forks: 0
```
██████╗ ███████╗██████╗ ████████╗███████╗ █████╗ ███╗ ███╗
██╔══██╗██╔════╝██╔══██╗ ██╔══╝██╔════╝██╔══██╗████╗ ████║
██████╔╝█████╗ ██║ ██║ ██║ █████╗ ███████║██╔████╔██║
██╔══██╗██╔══╝ ██║ ██║ ██║ ██╔══╝ ██╔══██║██║╚██╔╝██║
██║ ██║███████╗██████╔╝ ██║ ███████╗██║ ██║██║ ╚═╝ ██║
╚═╝ ╚═╝╚══════╝╚═════╝ ╚═╝ ╚══════╝╚═╝ ╚═╝╚═╝ ╚═╝
```
```
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░
░░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░
░░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░
░▒▒▒▒ ██████████████ ██████████████ ▒▒▒▒░
░▒▒▒ ████▓▓░░░░░░▓████ ████▓░░░░░░▓████ ▒▒▒░
░▒▒▒ ████▓░ ░██ ██░ ░▓████ ▒▒▒░
░▒▒▒ ███░ ░█ █░ ░███ ▒▒▒░
░▒▒▒ ███░ ░█ █░ ░███ ▒▒▒░
░▒▒▒ ████▓░ ░██ ██░ ░▓████ ▒▒▒░
░▒▒▒ ████▓▓░░░░░░▓████ ████▓░░░░░░▓████ ▒▒▒░
░▒▒▒▒ ██████████████ ██████████████ ▒▒▒▒░
░░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░
░░▒▒▒▒▒▒▒▒▒ ▒▒▒▒▒▒▒▒▒▒▒ ▒▒▒▒▒▒▒▒▒▒░░
░░▒▒▒▒▒▒▒ ███████████████████████ ▒▒▒▒▒░░
░░▒▒▒▒▒▒▒ ███████████████████████ ▒▒▒▒▒░░
░░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░
░░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░░
░░▒▒▒ █████ ▒▒▒ █████ ▒▒▒ █████ ▒▒░░
░░▒ █████ █████ █████ ▒░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
```
### 31 个漏洞。7 个域名。1 次授权红队评估。
### 印度最大的 Minecraft 服务器。全面审计。负责任披露。
## 这是什么
这是一次针对 **AppleMC** 进行授权渗透测试的完整公开披露,该服务器在测试时是印度最大的 Minecraft 生存服务器网络。超过 1,900 名并发玩家。每天处理真实的资金流水。真实账户数据绑定到真实的 Discord 身份。
此次评估涵盖了整个生产技术栈。七个域名。一个基于 PHP 的社区平台。一个控制网络中每个服务器容器的 Laravel 游戏面板。一个集成实时 Stripe 和 PayPal 的 Next.js 员工应用程序。一个 Tebex 网络商店。一个实时渲染每个在线玩家真实位置的动态地图。以及一个记录生产环境中每个数据库查询、每个密码重置 token 和每个队列任务 payload 的调试控制台,无需任何身份验证,任何人只要输入 URL 即可查看。
我们发现了 31 个漏洞。其中五个为严重级别。其中一个允许任何匿名访客读取每个在线玩家的精确世界坐标、生命值、护甲和永久的 Mojang UUID。另一个漏洞意味着 AppleMC 在 Cloudflare WAF、Bot Management 和 DDoS 防护上投入的资金完全白费了。真实的源站 IP 一直存在于公开的 DNS 记录中。
所有发现均已负责任地披露。所有漏洞均已修补。未窃取任何玩家数据。除确认每个发现的真实性外,未触碰任何其他账户。
## 基础设施
```
Domain Stack Notes
─────────────────────────────────────────────────────────────────────
applemc.fun NamelessMC v2 (PHP) real IP: 50.114.4.143
panel.applemc.fun Pterodactyl (Laravel) Cloudflare to Caddy
map.applemc.fun Squaremap live map Cloudflare
appslumina.com Lumina staff platform (Next.js) Cloudflare
store.applemc.fun Tebex webstore Cloudflare
applications.applemc.fun Lumina mirror Cloudflare
50.114.4.143 bare metal origin bypasses everything above
```
付费版 Cloudflare 套餐。Bot Management。WAF 规则。全套配置。
然而,源站 IP 却一直存在于公开的 DNS SRV 记录中。
## 发现
### 🔴 严重
| ID | CVSS | 标题 |
|----|------|-------|
| [F01](findings/critical/F01_player_tracking_api.md) | **9.1** | 未授权实时玩家情报 API,163 名在线玩家信息暴露 |
| [F02](findings/critical/F02_cloudflare_waf_bypass.md) | **9.0** | Cloudflare WAF 被完全绕过,真实源站 IP 存在于公共 DNS 中 |
| [F03](findings/critical/F03_laravel_telescope_horizon.md) | **8.6** | 生产环境中的 Laravel Telescope 和 Horizon 调试控制台,无身份验证 |
| [F04](findings/critical/F04_pterodactyl_auth_broken.md) | **8.2** | Pterodactyl 身份验证完全失效,无限暴力破解且无锁定机制 |
| [F05](findings/critical/F05_laravel_ignition_rce.md) | **8.1** | CVE-2021-3129,Laravel Ignition RCE,公开的 Metasploit 模块 |
### 🟠 高危
| ID | CVSS | 标题 |
|----|------|-------|
| [F06](findings/high/F06_lumina_admin_no_auth.md) | **7.5** | Lumina 管理面板,无需身份验证 |
| [F07](findings/high/F07_source_maps_exposed.md) | **7.5** | 生产环境 Source Map 暴露,完整的 TypeScript 源码被重建 |
| [F08](findings/high/F08_admin_data_props.md) | **7.5** | 管理页面数据 Props 无需身份验证即可访问 |
| [F09](findings/high/F09_payment_queue_unauth.md) | **7.5** | 实时支付队列可无授权访问,实时交易数据流暴露 |
| [F10](findings/high/F10_sql_injection.md) | **7.5** | 论坛搜索确认存在 SQL 注入,布尔型盲注 |
| [F11](findings/high/F11_discord_oauth_enumerated.md) | **7.4** | Discord OAuth 应用被枚举,验证密钥泄露 |
| [F12](findings/high/F12_namelessmc_installer.md) | **7.3** | NamelessMC 安装程序在生产环境中在线运行 |
| [F13](findings/high/F13_gitignore_exposed.md) | **7.2** | .gitignore 暴露,可能获取完整 Git 仓库访问权限 |
| [F14](findings/high/F14_stripe_paypal_leaked.md) | **7.1** | Stripe 和 PayPal 配置存在于无需授权的管理端 JS 中 |
| [F15](findings/high/F15_staff_list_idor.md) | **7.0** | 完整员工名单公开,确认存在个人资料 IDOR |
| [F16](findings/high/F16_pterodactyl_wings_exposed.md) | **6.8** | Pterodactyl Wings Daemon 在端口 8443 面向互联网开放 |
| [F17](findings/high/F17_host_header_injection.md) | **6.5** | Host Header 注入,密码重置投毒 |
### 🟡 中危 · 低危 · 信息
| 严重程度 | 数量 | 备注 |
|----------|-------|-------|
| 中危 | 8 | 通过 Next.js 图像代理的 SSRF,CORS 通配符,缺少安全请求头,Server Action 身份验证绕过,租户 slug 枚举,JS 中的调试信息 |
| 低危 | 3 | 响应头中的版本泄露,过时的前端依赖项,缺少 cookie 标志 |
| 信息 | 3 | DNS 枚举,证书透明度数据,完整子域名映射 |
完整详情:[findings/medium/medium_findings.md](findings/medium/medium_findings.md)
## 攻击链
```
SQL injection on forum search (F10)
↓ dump nl2_settings via sqlmap
↓ NamelessMC API key in plaintext
↓ POST to server console endpoint
↓ lp user ATTACKER parent set owner
✓ owner rank. zero credentials. zero alerts.
```
```
WAF bypass via real origin IP (F02)
↓ SQL injection with no WAF interference (F10)
↓ admin credentials from nl2_users
↓ Pterodactyl panel access or CVE-2021-3129 RCE (F05)
↓ .env exposes every secret in the stack
↓ Wings daemon on port 8443 (F16)
✓ RCE on every game server container in the network
all files. all player data. all plugin credentials. done.
```
共记录了五条完整攻击链:[attack_chains/kill_chains.md](attack_chains/kill_chains.md)
## 披露说明
授权的测试评估。在任何公开发布之前已交付完整的私有报告。每个发现均附带了影响说明和修复步骤进行了沟通。团队修补了所有问题。未提取任何数据。未访问任何账户。未修改任何游戏内系统。
AppleMC 以正确的方式处理了此事。
```
╔══════════════════════════════════════════════════════╗
║ 7 of 31 bugs required zero credentials ║
║ a 5 year old CVE was running in production ║
║ the WAF cost real money. origin IP was in DNS. ║
║ ║
║ no system is safe. get a pentest. ║
╚══════════════════════════════════════════════════════╝
```
**Krumo / Spade · 2026 年 5 月**
标签:CISA项目, Minecraft, Web安全, Web报告查看器, 印度服务器, 安全报告, 我的世界, 游戏安全, 游戏服务器, 漏洞分析, 红队评估, 网络安全, 蓝队分析, 负责任披露, 路径探测, 隐私保护