妹子就给我发来了这个:
![](https://i0.wp.com/pic3.zhimg.com/80/v2-db33958beb0d820dad930425ae10f613_hd.jpg?w=690&ssl=1)
下载一看,尼玛什么鬼,妹子居然也玩网络棋牌了,这种小游戏一般都很弱啊,要是能把他拿下来,岂不是可以让妹子好好崇拜一下,别人都说妹子喜欢一个男人是从崇拜他开始的……嗯……
![](https://i0.wp.com/pic1.zhimg.com/80/v2-e466e31a004aa0d8531489f2c060ce7d_hd.jpg?w=487&ssl=1)
言归正传,访问目标主站,只有一个游戏下载页面,暂时没发现什么有价值的东东,先放一放。
在 Android 模拟器上安装游戏,配置好 burpsuite 代理,并开始用 wireshark 抓包进行流量分析。启动游戏,发现 app 会通过 www.game1579.com 进行身份认证并获取游戏基本信息,另一个URL是 http://fjsss.ruiyoushouyou.com 。
![](https://i0.wp.com/pic2.zhimg.com/80/v2-f65337c657c84e7e6d4a958bc7601064_hd.jpg?w=690&ssl=1)
简单测试了一下已知的几个API,未发现明显漏洞,同时发现该服务器安装有安全狗。
![](https://i0.wp.com/pic1.zhimg.com/80/v2-964e5ac0800093ad739626308f45a579_hd.jpg?w=690&ssl=1)
继续分析流量,发现了一个比较关键的功能:用户通过微信登陆成功后,APP会把用户头像上传到服务器上,在APP加载的时候从WEB服务器上读取用户头像。而文件上传的操作,是通过/Public/XmlHttpUser.aspx这个API来完成的。
1) 任意文件上传配合web.config绕过安全狗getshell
漏洞位置:http://www.game1579.com/Public/XmlHttpUser.aspx?type=AddImg
![](https://i0.wp.com/pic1.zhimg.com/80/v2-7912f1c51caf9892c187d9e8846dab6a_hd.jpg?w=370&ssl=1)
filename参数可以控制文件上传的文件名,配合../可以跨目录。但是直接上传asp或者aspx会被安全狗拦截,因此,此处需要利用web.config来让iis解析自定义的后缀。
但是这个服务器不能解析自定义后缀的aspx文件,只能为asp自定义后缀,尝试向当前目录写入web.config,将asdx解析为asp。然后写入asdx后缀的asp webshell,由于安全狗会拦截菜刀,此处只写入了一个最基本的cmdshell。
![](https://i0.wp.com/pic2.zhimg.com/80/v2-973543cf2f59ab0a35d60cbc0fbb9d1c_hd.jpg?w=439&ssl=1)
然后上传操作数据库的aspx shell,利用move命令将后缀改为aspx,读取web.config获得数据库连接字符串。此处简单把sql语句reverse了一下,防止安全狗拦截,然后就直接system了。
![](https://i0.wp.com/pic4.zhimg.com/80/v2-47a0dcc6e45e4afa02ce810f3ffc0ade_hd.jpg?w=437&ssl=1)
2) 后台
System是远远不够的,我一定要进后台满足一下小小好奇心。
读取iis配置,发现网站管理后台在8080端口的admin目录下,但是无法直接从外网访问到。读取iis日志,也发现admin的访问记录,分析发现应该是iis做了ip限制。截取一部分日志……
![](https://i0.wp.com/pic2.zhimg.com/80/v2-a7fd51dd03005972d9f5406092418ee0_hd.jpg?w=690&ssl=1)
虽然你有限制,但我有system权限啊,上了一个meterpreter,抓到了系统管理员密码明文:Administrator NfrsWQ86r^n9$***
将8080端口转发到本地,分析web代码,从数据库中找到网站管理员的账号和密码hash,破解后得到明文,神奇后台闪亮登场:
![](https://i0.wp.com/pic4.zhimg.com/80/v2-1b6d0931c12dea1baeb0c9582dda9466_hd.jpg?w=354&ssl=1)
![](https://i0.wp.com/pic1.zhimg.com/80/v2-273f9a7d10066c60e373449a01c3e567_hd.jpg?w=690&ssl=1)
一些令人惊讶的小发现
1)游戏采取代理进行管理
代理后台位于网站主站的AgencyPhone目录下,通过代理可以向任意用户发放钻石(房卡),游戏后台管理员可以给代理充钻石。
![](https://i0.wp.com/pic2.zhimg.com/80/v2-5f1b6d8e19135089995178e716399826_hd.jpg?w=364&ssl=1)
2) 钻石的有偿交易
在游戏中,玩家要进行对局,需要消耗钻石,APP提供了钻石购买功能,允许玩家使用微信支付来购买钻石,也可以向代理购买,代理向玩家出售钻石,并通过其他支付手段来收取费用,以进一步逃避监管。部分高权限的代理可以继续招收下级代理,所有代理与二级代理之间的交易都有据可查。
![](https://i0.wp.com/pic4.zhimg.com/80/v2-ab51a07ff86de9faae91b179c7fa310f_hd.jpg?w=690&ssl=1)
3) 游戏可以作弊
管理员不仅搭平台坐庄,还搞了一批“机器”做高胜率赚玩家钱。
![](https://i0.wp.com/pic3.zhimg.com/80/v2-480701b844749f6af1ca20bff94ba300_hd.jpg?w=690&ssl=1)
后续的拓展
后续通过各种关联分析,又搞定了一批目标,过程太复杂,大概就是程序内特征+IP&域名+全网特征扫描:
![](https://i0.wp.com/pic1.zhimg.com/80/v2-c4a443406c027cb324a219ee1307ca1a_hd.jpg?w=555&ssl=1)
以下为各APP抓取的明文密码与通用充值接口,根据其采取的充值接口一致、关联关系与密码一致性可以明确为一个团伙作案,用户总规模近100万,总金额由于大量采取代理线下交接,无法准确统计,但光代理产生的钻石流水就已经突破了公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》中规定的“赌资数额累计达到30万元以上的属于情节严重,处3年以上10年以下有期徒刑,并处罚金”。
![](https://i0.wp.com/pic4.zhimg.com/80/v2-7ecbdb3d673369df2fb1cfd20b4287fa_hd.jpg?w=870&ssl=1)
总结
以上六个APP为同一团队运营,均为专业性赌博APP,用户规模近100万,不仅通过各级代理组织线上赌博,且通过后台操作胜率对玩家黑吃黑,既不合法、也不合理。老衲能做的只能是将之公布出来,后面的就交给警察叔叔了。同时也敬告aliyun、yundun等企业,服务器上架要做好监督与核查,欢迎jcss站内私信,更多证据链可以提供……
真人真事,转自FreeBuf。
来源及声明:内容来自于网络,文字图片版权归原创者所有,我们致力于保护每一位原创者的内容,但因部分图文来自网络等各种渠道,无法追溯作者,如有侵权请联系我们:beautcanada@gmail.com,核实后即刻删除!–北美财富网