哈嘍大家好,相信很多老朋友都很熟悉我,提起“網絡賭博”平臺各位肯定都是一肚子的委屈,可是還是有很多人深陷不己。
當然現在網絡的這些害人平臺有很多,例如所謂的“時時彩”和棋牌等一系列。但是在那些平臺主子也就是分為BC綜合盤還有六合等等。
最近一直很忙,前幾天一個朋友在頭條找到我,講述了他是如何從一個曾經擁有幸福家庭的人淪落為現在人不人,鬼不鬼的。聽到這裡,我嚴重懷疑這個朋友肯定是遇到了所謂的“殺豬模式”。幾個小時的交流之後,我讓該朋友發來了所玩的平臺,於是有了接下來的爬蟲深透測試。
其實當我下載該平臺一看就心裡震驚一下,這尼瑪明顯就是個“釣魚”平臺,相信很多人都知道這個臺子,也有很多人被坑吧。
話不多說啦,我們直接開始進入正題,這個時候我們首先訪問先目標主頁,但是發現並沒有任何有用的線索,只是一個單純的下載連接而已。所以只能放在一邊了。
接下來我們打開安卓模擬器,這個東西大家很熟悉吧,現在比較火的和平精英很多人都喜歡用安卓模擬器玩,這裡我用的是TX的模擬器,當然這個大家自由選擇。
打開模擬器,然後把目標APK文件添加,安裝遊戲,配置 burpsuite 代理,然後抓包,進行流量分析,這裡我們選用的是 wireshark 抓包。
接下來就是見證奇蹟的時刻啦,我們在模擬器啟動遊戲,會發現 app 會通過A連接進行身份實名認證並獲取該遊戲目標的一些基本信息,折射出來的另外一個URL是B。這算是一個前期最重要的結果
然後我們把已經抓包到的API先進行簡單的測試,沒有發現明顯的BUG或漏洞,但是可悲的是發現該系統竟然有可惡的安全狗看門。
已知有安全狗,我們暫時先放下,繼續進行流量分析再說。果不其然我們又發現了一個更加關鍵的功能,各位小夥伴記住,往往看起來不入眼的東西最關鍵,因為高手最注重的就是細節。用戶通過VX成功登錄目標遊戲後,APP會立馬把用戶頭像等詳細信息上傳之服務器,等APP加載的時候通過WEB服務器來完成,從上圖可以知道是通過/Public/Xml這個API來完成的。
緊接著我們用利劍進行全面掃描,獲取了目標一個存在的BUG。
我們準備上傳一個自編文件去中和該BUG。
從圖中可以發現filename參數其實可以控制文件上傳的文件名,但是如果我們選擇直接上傳asp或者aspx會被安全狗攔截,那怎麼辦呢?不怕,這個時候我們只需要利用web.config來讓iis解析自定義的後綴就可以了。
但是我們又這個服務器卻不能解析自定義後綴的aspx文件,只能為asp自定義後綴,嘗試向當前目錄寫入web.config,將asdx解析為asp。然後寫入asdx後綴的asp webshell,但是由於安全狗可能會攔截菜刀,(只是猜測)此處只寫入了一個最基本的cmdshell。沒有想到的是成功咯。
緊接著我們上傳可以操控數據的aspx shell,然後利用move命令將後綴改為aspx就可以,自動讀取web.config獲得數據庫連接字符串。然後在此處簡單把sql語句reverse了一下,這是為了防止安全狗攔截,就直接system了。
但是作為一個深挖的白帽來說,不管是處於幫助還是滿足自己的好奇心來講,僅僅system是不夠的,一定要拿下管理員或者服務器的權限才算合格,這裡我們僅僅先拿下管理員權限,也就是進入後臺。
因為System了,我們讀取iis配置後發現目標平臺的管理後臺在8080端口的admin目錄下,可是由於我們無法直接從外網訪問。我們讀取IIS日誌,發現Admin的訪問記錄,分析發現是做了IP限制,這也是作為平臺管理者必須做的。然後我們截取一部分的日誌來分析。
俗話說得好,你有你的張良計,我有我的過牆梯,雖然你限制了IP,可是我已經獲取了System權限啊,我們上傳一個,meterpreter,直接抓到了系統管理員密碼明文。緊接著馬不停蹄的將8080端口轉發到本地,然後分析web代碼,從數據庫中找到網站管理員的賬號和密碼hash,破解後得到明文,然後就是見證奇蹟的時刻,後臺閃亮登場了。
就此已經拿下權限,接下來我們講講內幕。第一種就是該平臺採用的是代理進行管理。也就是代理可以給任意玩家發送金幣或鑽石,但是隻有平臺管理可以給代理充值鑽石等。
第二種就是大家所關係的,平臺作弊,管理員不僅搭平臺坐莊,還搞了一批“機器人”做高勝率賺玩家錢。並且通過該平臺的某個數據庫發現平臺的代理擁有透視等功能,其實也意味著隨便可以做出透視腳本來進行“殺豬”。
最後的總結:該平臺旗下的所有APP為同一團隊進行運營,均為專業性網賭APP,用戶規模近上百萬,不僅通過各級代理組織線上賭博,且通過後臺操作勝率對玩家進行黑吃黑,看到這裡,嗜賭如命的朋友還要執迷不醒嗎?
閤家歡樂送給大家。
