听说世界上只有百分之3的人关注Jayson,很幸运你是其中一位
一、前言
之前认识许久的妹纸,后面有接触几天,本来想和我开黑的,还想在妹子面前装逼,随之她就发了这个。嘴上笑嘻嘻,心里MMP。
妹子就给我发来了这个:
二、目标分析
言归正传,访问目标主站,只有一个游戏下载页面,暂时没发现什么有价值的东东,先放一放。
在 Android 模拟器上安装游戏,配置好 burpsuite 代理,并开始用 wireshark 抓包进行流量分析。启动游戏,发现 app 会通过 www.game1579.com 进行身份认证并获取游戏基本信息,另一个URL是 http://fjsss.ruiyoushouyou.com 。
继续分析流量,发现了一个比较关键的功能:用户通过微信登陆成功后,APP会把用户头像上传到服务器上,在APP加载的时候从WEB服务器上读取用户头像。而文件上传的操作,是通过/Public/XmlHttpUser.aspx这个API来完成的。
三、过程 1) 任意文件上传配合web.config绕过安全狗getshell
漏洞位置:http://www.game1579.com/Public/XmlHttpUser.aspx?type=AddImg
filename参数可以控制文件上传的文件名,配合../可以跨目录。但是直接上传asp或者aspx会被安全狗拦截,因此,此处需要利用web.config来让iis解析自定义的后缀。
但是这个服务器不能解析自定义后缀的aspx文件,只能为asp自定义后缀,尝试向当前目录写入web.config,将asdx解析为asp。然后写入asdx后缀的asp webshell,由于安全狗会拦截菜刀,此处只写入了一个最基本的cmdshell。
然后上传操作数据库的aspx shell,利用move命令将后缀改为aspx,读取web.config获得数据库连接字符串。此处简单把sql语句reverse了一下,防止安全狗拦截,然后就直接system了。
2) 后台
读取iis配置,发现网站管理后台在8080端口的admin目录下,但是无法直接从外网访问到。读取iis日志,也发现admin的访问记录,分析发现应该是iis做了ip限制。截取一部分日志……
虽然你有限制,但我有system权限啊,上了一个meterpreter,抓到了系统管理员密码明文:Administrator NfrsWQ86r^n9$***
将8080端口转发到本地,分析web代码,从数据库中找到网站管理员的账号和密码hash,破解后得到明文,神奇后台闪亮登场:
四、一些令人惊讶的小发现 1)游戏采取代理进行管理
代理后台位于网站主站的AgencyPhone目录下,通过代理可以向任意用户发放钻石(房卡),游戏后台管理员可以给代理充钻石。
2) 钻石的有偿交易
在游戏中,玩家要进行对局,需要消耗钻石,APP提供了钻石购买功能,允许玩家使用微信支付来购买钻石,也可以向代理购买,代理向玩家出售钻石,并通过其他支付手段来收取费用,。部分高权限的代理可以继续招收下级代理,所有代理与二级代理之间的交易都有据可查。
3) 游戏可以作弊
管理员不仅搭平台坐庄,还搞了一批“机器”做高胜率赚玩家钱。
五、后续的拓展
后续通过各种关联分析,又搞定了一批目标,过程太复杂,大概就是程序内特征+IP&域名+全网特征扫描:
Jayson多说一句,好好学习,健康5步骤上网!
一、坚持正确导向,共同营造积极向上、。
二、净化网络环境。不刊载不健康的文字和图片,不链接不健康网站,不提供不健康内容搜索,不开设不健康声讯服务,不运行带有凶杀、色情内容的游戏,不登载不健康广告和庸俗、格调低下的图片、音视频信息,为青少年健康成长营造良好的网络环境。
三、遵纪守法,自觉遵守国家有关互联网的法律、法规和政策。
四、坚持自我约束,实施行业自律。
五、自觉接受管理,接受公众监督。
跟着Jayson玩耍看世界,带你装逼带你飞。喜欢的观众老爷可以点波关注,Jayson在此跪拜!
