我的入侵回憶錄 韓國冒險島

還是陳述...過程可能很模糊~~

1.打開入口點.打開冒險島官方網站,發現全是.net的,注入發現沒什麼希望,於是將思維轉到公司網站上去.經過浏覽發現nexon是它的運營公司,neowiz是其開發公司(neowiz也屬於nexon).因為nexon太過出名,直接從他下手成功的把握不大,於是乎從neowiz的公司網站http://www.wizet.com下手.經觀察檢測,服務器采用asp+mssql+win2003組合,並且有sql注入 dbowner 權限,數據庫和web還在同一服務器上.這樣我們好辦多了,首先我們用xiaolu的差異備份工具備份一個shell,後來發現這個shell有問題,根本連接不上.無語.因為該站有sql注入,所以我們注射得到管理員密碼後,利用現成的工具nbsi把服務器的網站目錄列出來,然後查找哪一個是後台管理目錄.後來查找到http://www.wizet.com/hello/這個為後台.登陸進去,發表新聞,直接插入asp木馬,上傳成功.所得到的shell地址為:http://www.wizet.com/super/hello/press/press_listProc.asp

2.搜集有用的資料.經過一段時間的檢查,該服務器上有很多web目錄.裡面的文件全是封裝成dll的,我花了半個小時將服務器上web目錄裡所有的dll下載回來,利用.net反匯編工具 Reflector 打開,經過分析,這些web全部是管理後台,dll裡有中國/台灣/泰國/英國 的冒險島游戲服務器數據庫密碼(沒有sa),但是有些密碼已經過期.

3.讓我們再搜集更多的資料.目前我們已經獲取到的資料已經非常多了,我們下一步可以選擇提升本機權限,或是直接獲取其他機器的權限,我選擇了提升本地權限,可是經過2天時間的研究實驗,還是以提權失敗告終.現在我們做的只有選擇獲取其他機器的權限了,由於我的目的只是韓國的游戲服務器,所以我將得到的數據庫IP與密碼全部整理出來,我得到2個IP段220.90.204.X和222.122.59.X.現在思路基本上已經成形了,使用webshell的sql連接功能,我們一個個IP連接上去看看哪些IP有哪些數據庫,猜猜它有什麼用.經過連接查看分析,我猜測了個結果222.122.59.X這個IP段的sql是網站使用的數據庫,裡面有網站的配置信息,新聞數據=.220.90.204.42-43這幾個IP段是游戲論壇數據庫.這些都只是猜測,因為我前面說了,有些密碼不對,我能進去的只有一個論壇的數據庫和一些其他不重要的庫,其他網站數據庫和人物資料我根本沒有密碼進去,發展到這裡好像還是沒有什麼進展.

4.資料越多用處越大.資料我們收集了,但是還沒有碰到有實用價值的東西怎麼辦?現在可就是考驗你耐性的時候了.但是我是連續2-3天沒睡覺~

我換了一種方式,我利用他的sql密碼連接所有開放了7891(1433端口,韓國人改了)試著執行sql命令"use master select user",一直試到220.90.204.43(這是我試到的最後一台),突然眼前一亮~回顯結果為dbo.哈哈~機會來了.趕緊利用ftp下載了一個mt.exe,findpass出管理員密碼為2my10ve,然後本地打開mstsc就去連接它,結果連接不上..服務器做了限制,停了安全策略也沒用,看來是在路由做了限制.心裡一下子又涼了半截哈哈~~ 稍微思考了一下,抱著試試看的情況,拿出SuperScan掃描220.90.204.X整個段開放了7892端口(終端端口,韓國管理員改的),掃描結果只有一台..220.90.204.8:7892,無比緊張激動的心情打開mstsc連接上去,輸入密碼,回車...嘩..竟然進去了~~~

5.我們還需要資料.我們現在已經拿到一台服務器了,實際上是3台,因為220.90.204.42-43和這台的密碼一樣,而且通過.8這一台可以遠程連接上整個網段的所有終端sql端口,經過掃描分析,我又肯定的猜測出了220.90.204.80-96為冒險島1-17區的sql數據器,220.90.204.79為ID數據庫服務器.現在我們有更多的地方獲取資料了,我在220.90.204.8,42,43 這3台服務器上又獲得了一些sql密碼,而且找到了冒險島的服務端程序,還通過.43這台服務器直接連接到了222.122.59.X這邊的web服務器上(管理員可能之前連接上了沒關閉).這裡我把冒險島服務端的程序的用處和web服務器的用處分開說一下,同時說我說不太清楚.

服務端程序:通過觀察,服務端有2和目錄,一個程序目錄,一個游戲配置文件和NPC腳本文件目錄,我首先查看了所有的游戲配置文件和部分的腳本文件,沒有發現游戲數據庫的連接密碼,只是找到了一些程序的IP,更加肯定了我220.90.204.80-96為冒險島1-17區的sql數據器的想法.然後轉到程序目錄裡發現有一個database.dll的文件,使用OD打開這個文件→查找所有字符串→很容易的找到了一個密碼"xxxxx"(忘記了),拿著這個密碼

我連接220.90.204.80-96,都提示密碼錯誤,再看看database.dll這個文件發現是04年8月的,應該是密碼已經更換過了.

web服務器:web服務器全是2003的系統,那時間不知道怎麼findpass,所以將一台服務器的管理員密碼改了連接過去,再用ipc$連接給所有web全部中上了灰鴿子,再然後就開始分析他的web源碼.暈~ 也是dll封裝的,而且反匯編出來查找到的數據庫密碼也沒有游戲sql的而只有web的sql密碼.

這裡我就已經放棄了web(第2天所有鴿子全部下線~好像是直接做了路由限制..)

6.柳暗花明又一村.好了,到這裡我們似乎除了等管理員自己連接游戲服務器外似乎沒有其他的辦法了,但是我還是不甘心,我在c盤發現一個沒見過的東西.打開一看,竟然是一個備份服務器的管理員信息和IP,其中密碼是X號的,我於是下載了一個星號查看器查找出其密碼為:dlf1ghl100up,其IP為:220.90.204.78,hoho,又有希望了,讓我們mstsc登陸上去看看有什麼.一看不要緊~ 挖~~~ 裡面就是備份的游戲程序和數據庫.於是我趕緊將程序裡的database.dll下載回來,使用od一查看得到ID/密碼:gamesvr/em.el.dj!qkRnsek,再使用webshell連接220.90.204.80-96,17台服務器全部能連接上~~~ oh yeah~~到這裡我的目的已經達到了.

7.權限的丟失.其實利用web刷庫是很保險的,但是我又想拿最新的游戲程序服務端(或許還有源碼,^-^),所以一直在220.90.204.8這台機器上守株待兔,終於有一天早上,我發現管理員上了,而且開了mstsc,我netstat -an 一看~ 竟然就是連接的游戲服務器.心裡一喜,有希望了..思路如下:因為220.90.204.x這個段的IP是沒有任何限制的,所以我將220.90.204.8的C盤共享,傳了個mt.exe進去.然後將地址復制好:220.90.204.8c$,然後以最快的速度tsadmin連接管理員另外那一邊,連接過去後打開共享,輸入密碼,cmd.exe,mt.exe -findpass.得到密碼復制並粘貼上,然後趕緊退出終端,但是終究遲了一步,密碼是拿到了,但是我這邊也被管理員T下去了,奇怪的是那管理員把我T下去之後他也沒有連接,我就這樣在鴿子上看了一會,心裡想,還是明天再來看吧,反正有游戲服務器的系統密碼了,就是這個想法,我錯失了一天給我保留權限的機會...第二天所有服務器的連接限制都做好了..不能反向出來,正向端口只有游戲服務器開放的端口...

現在想起來還後悔,那天要是去游戲服務器裝個黑門該有多爽啊~~