加QQ81758415
快捷导航

黑客道理有多厉害

2019-2-13 22:16| 发布者: xlbck| 查看: 70| 评论: 0

摘要: 过年回家饭局上碰到一个原来心仪的妹子,虽然已经4、5年没见面了,妹子见到我还是分外亲热,不仅主动挨着我坐着,居然还邀请我一起玩游戏,心中窃喜不已,哥们王者刚上了王者星耀,先好好炫一下技术,然后……妹子就 ...

过年回家饭局上碰到一个原来心仪的妹子,虽然已经4、5年没见面了,妹子见到我还是分外亲热,不仅主动挨着我坐着,居然还邀请我一起玩游戏,心中窃喜不已,哥们王者刚上了王者星耀,先好好炫一下技术,然后……

妹子就给我发来了这个:

下载一看,尼玛什么鬼,妹子居然也玩网络棋牌了,这种小游戏一般都很弱啊,要是能把他拿下来,岂不是可以让妹子好好崇拜一下,别人都说妹子喜欢一个男人是从崇拜他开始的……嗯……

言归正传,访问目标主站,只有一个游戏下载页面,暂时没发现什么有价值的东东,先放一放。

在 Android 模拟器上安装游戏,配置好 burpsuite 代理,并开始用 wireshark 抓包进行流量分析。启动游戏,发现 app 会通过 www.game1579.com 进行身份认证并获取游戏基本信息,另一个URL是 http://fjsss.ruiyoushouyou.com 。

简单测试了一下已知的几个API,未发现明显漏洞,同时发现该服务器安装有安全狗。

继续分析流量,发现了一个比较关键的功能:用户通过微信登陆成功后,APP会把用户头像上传到服务器上,在APP加载的时候从WEB服务器上读取用户头像。而文件上传的操作,是通过/Public/XmlHttpUser.aspx这个API来完成的。

1) 任意文件上传配合web.config绕过安全狗getshell

漏洞位置:game1579.com/Public/Xml

filename参数可以控制文件上传的文件名,配合../可以跨目录。但是直接上传asp或者aspx会被安全狗拦截,因此,此处需要利用web.config来让iis解析自定义的后缀。

但是这个服务器不能解析自定义后缀的aspx文件,只能为asp自定义后缀,尝试向当前目录写入web.config,将asdx解析为asp。然后写入asdx后缀的asp webshell,由于安全狗会拦截菜刀,此处只写入了一个最基本的cmdshell。

然后上传操作数据库的aspx shell,利用move命令将后缀改为aspx,读取web.config获得数据库连接字符串。此处简单把sql语句reverse了一下,防止安全狗拦截,然后就直接system了。

2) 后台

System是远远不够的,我一定要进后台满足一下小小好奇心。

读取iis配置,发现网站管理后台在8080端口的admin目录下,但是无法直接从外网访问到。读取iis日志,也发现admin的访问记录,分析发现应该是iis做了ip限制。截取一部分日志……


虽然你有限制,但我有system权限啊,上了一个meterpreter,抓到了系统管理员密码明文:Administrator NfrsWQ86r^n9$***

将8080端口转发到本地,分析web代码,从数据库中找到网站管理员的账号和密码hash,破解后得到明文,神奇后台闪亮登场:


一些令人惊讶的小发现

1)游戏采取代理进行管理

代理后台位于网站主站的AgencyPhone目录下,通过代理可以向任意用户发放钻石(房卡),游戏后台管理员可以给代理充钻石。

2) 钻石的有偿交易

在游戏中,玩家要进行对局,需要消耗钻石,APP提供了钻石购买功能,允许玩家使用微信支付来购买钻石,也可以向代理购买,代理向玩家出售钻石,并通过其他支付手段来收取费用,以进一步逃避监管。部分高权限的代理可以继续招收下级代理,所有代理与二级代理之间的交易都有据可查。

3) 游可以作弊

管理员不仅搭平台坐庄,还搞了一批“机器”做高胜率赚玩家钱。


后续的拓展

后续通过各种关联分析,又搞定了一批目标,过程太复杂,大概就是程序内特征 IP&域名 全网特征扫描:


以下为各APP抓取的明文密码与通用充值接口,根据其采取的充值接口一致、关联关系与密码一致性可以明确为一个团伙作案,用户总规模近100万,总金额由于大量采取代理线下交接,无法准确统计,但光代理产生的钻石流水就已经突破了公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》中规定的“赌资数额累计达到30万元以上的属于情节严重,处3年以上10年以下有期徒刑,并处罚金”。


总结

以上六个APP为同一团队运营,均为专业性赌博APP,用户规模近100万,不仅通过各级代理组织线上赌博,且通过后台操作胜率对玩家黑吃黑,既不合法、也不合理。老衲能做的只能是将之公布出来,后面的就交给警察叔叔了。同时也敬告aliyun、yundun等企业,服务器上架要做好监督与核查,欢迎jcss站内私信,更多证据链可以提供……

昨天晚上在游戏里卖东西,有个人M我,截图没有了大概意思是让我便宜点儿,我问她能不能瞬秒,她说钱不够能不能给我充500点卡,我觉得可以,就加了她微信,给了她邮箱(我开始以为要给游戏账号的邮箱)。

过了一会儿说充好了,让我去邮箱里查,我一看:



点“激活订单”:



点“下一步”:



真的,在这种场景下很容易上当的。。。我当时已经把账号密码都输进去了,就差点“登录”了,突然反应过来,看了一眼域名:



阿里的域名服务,感觉不太对啊,再审查元素看一下,然后就!!(╯’ – ‘)╯︵ ┻━┻

当时我微信跟她说她玩儿大了,然后就把她删了。

(以下内容纯属虚构,你懂的。。)

躺床上沉思了5秒钟以后,我开始审视这几个钓鱼页面的请求,发现了一处宽字节注入:



看了一下mysql用户,发现是root,小开心,用sqlmap跑,找到当前的数据库czkzx:



这里有个sqlmap的使用技巧:这个注入能用union并且有回显,所以用–technique U指定下注入的技术,但是sqlmap默认只用order by判断1-10列,这里是13列(手动判断出来的),所以我用–union-cols 12-15指定下判断的列数(指定1-15发现sqlmap居然判断不出来)。

利用报错拿到网站绝对路径:



尝试用select into outfile写webshell,发现失败,原因是网站开了gpc。

看一下拖出来的数据,发现里面用户的密码都是以加盐hash的方式进行存储的:



找了几个破解了一下,都没成功,并且最关键的是我根本找不到后台在哪,于是我打算试下XSS。

在输入账号密码的地方插入XSS Payload,然后去数据库里查看一下:



发现数据在入库前做了HTML实体编码(后来我用sqlmap的–sql-shell去查看的时候发现是没有编码的形式,这是因为sqlmap在显示查询结果的时候做了一下解码,如下图)。



由于没有列目录漏洞,于是我就去读了几个我知道的文件源码,发现确实做了编码处理:



由于用mysql_connect方式连接的mysql不支持堆叠查询,所以也没办法用update修改数据库里的数据,XSS的思路好像也不太行。

接着想到一般这种钓鱼站都会有给fisher发推送邮件的功能,果然在数据库中找到了邮箱和密码:



但是试了一下,密码不对。。。

由于在源码中发现了数据库的root密码,于是我又回到了利用mysql写webshell的思路上,唯一的障碍就是gpc,如果能直接通过3306连接那就没有这个问题了。

尝试ping一下目标域名,发现是阿里的cdn:



试了一些方法,没有找到真实IP(其实也真不一定有公网IP)。

没什么好思路了,于是接着看源码,发现网站根目录下的index.php内容如下:



看到一个新的域名,比较好奇就ping了一下,发现居然不解析,应该是很早就到期了,现在没人注册。

然后我看到了下面的file_get_contents,突然看到了一些希望:

我可以注册这个域名,然后让钓鱼服务器访问我的网站,这样不就能获取到他的公网IP了吗!(前提是它有公网IP而不是内网映射出去的。)

一般mysql默认安装很多是0.0.0.0,但是这不意味着允许root用户远程登录,于是我先通过注入看了下:



看到%了!

抱着一丝希望,我花了45元注册了这个域名,然后把www子域解析到了我的服务器上,然后访问这个index.php,果然!我的服务器上出现了一个IP,百度了一下发现是香港的IP,不是阿里云(当时用Python启的服务,没截图,看下和小伙伴的聊天记录吧):



怀着激动的心情,我用nmap扫了下3306端口,发现端口是开放的:



连接mysql:



可以,很舒服!尝试写个phpinfo:



之后用webshell看了下权限,很低,目标mysql是5.0的,直接上t00ls的udf提权脚本:



成功拿到system权限:



查看下端口信息,发现3264端口是远程桌面的端口:



创建用户,登录:


拿到了服务器,就可以为所欲为,发现一些隐藏的真相~

当然,真正厉害的黑客不会做这种低级的事,他们会用技术改变世界。

代码问题用代码来解决,人的问题用人来解决,我会教大家重新理解安全是什么。

一个制作病毒的骗子被路过的女黑客轻松破解 各种调戏蹂躏后,竟不死心,又发布了新的勒索病毒版本。

那么该轮到我替天行道了:一次破解勒索病毒并人肉找到骗子住址的过程。


鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )