入侵回忆录 韩国冒险岛

linwenwa

文章作者：风蓝
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

还是陈述...过程可能很模糊~~

1.打开入口点.打开冒险岛官方网站,发现全是.net的,注入发现没什么希望,于是将思维转到公司网站上去.经过浏览发现nexon是它的运营公司,neowiz是其开发公司(neowiz也属于nexon).因为nexon太过出名,直接从他下手成功的把握不大,于是乎从neowiz的公司网站http://www.wizet.com下手.经观察检测,服务器采用asp+mssql+win2003组合,并且有sql注入 dbowner 权限,数据库和web还在同一服务器上.这样我们好办多了,首先我们用xiaolu的差异备份工具备份一个shell,后来发现这个shell有问题,根本连接不上.无语.因为该站有sql注入,所以我们注射得到管理员密码后,利用现成的工具nbsi把服务器的网站目录列出来,然后查找哪一个是后台管理目录.后来查找到http://www.wizet.com/hello/这个为后台.登陆进去,发表新闻,直接插入asp木马,上传成功.所得到的shell地址为:http://www.wizet.com/super/hello/press/press_listProc.asp

2.搜集有用的资料.经过一段时间的检查,该服务器上有很多web目录.里面的文件全是封装成dll的,我花了半个小时将服务器上web目录里所有的dll下载回来,利用.net反汇编工具 Reflector 打开,经过分析,这些web全部是管理后台,dll里有中国/台湾/泰国/英国 的冒险岛游戏服务器数据库密码(没有sa),但是有些密码已经过期.

3.让我们再搜集更多的资料.目前我们已经获取到的资料已经非常多了,我们下一步可以选择提升本机权限,或是直接获取其他机器的权限,我选择了提升本地权限,可是经过2天时间的研究实验,还是以提权失败告终.现在我们做的只有选择获取其他机器的权限了,由于我的目的只是韩国的游戏服务器,所以我将得到的数据库IP与密码全部整理出来,我得到2个IP段220.90.204.X和222.122.59.X.现在思路基本上已经成形了,使用webshell的sql连接功能,我们一个个IP连接上去看看哪些IP有哪些数据库,猜猜它有什么用.经过连接查看分析,我猜测了个结果222.122.59.X这个IP段的sql是网站使用的数据库,里面有网站的配置信息,新闻数据=.220.90.204.42-43这几个IP段是游戏论坛数据库.这些都只是猜测,因为我前面说了,有些密码不对,我能进去的只有一个论坛的数据库和一些其他不重要的库,其他网站数据库和人物资料我根本没有密码进去,发展到这里好像还是没有什么进展.

4.资料越多用处越大.资料我们收集了,但是还没有碰到有实用价值的东西怎么办?现在可就是考验你耐性的时候了.但是我是连续2-3天没睡觉~

我换了一种方式,我利用他的sql密码连接所有开放了7891(1433端口,韩国人改了)试着执行sql命令"use master select user",一直试到220.90.204.43(这是我试到的最后一台),突然眼前一亮~回显结果为dbo.哈哈~机会来了.赶紧利用ftp下载了一个mt.exe,findpass出管理员密码为2my10ve,然后本地打开mstsc就去连接它,结果连接不上..服务器做了限制,停了安全策略也没用,看来是在路由做了限制.心里一下子又凉了半截哈哈~~ 稍微思考了一下,抱着试试看的情况,拿出SuperScan扫描220.90.204.X整个段开放了7892端口(终端端口,韩国管理员改的),扫描结果只有一台..220.90.204.8:7892,无比紧张激动的心情打开mstsc连接上去,输入密码,回车...哗..竟然进去了~~~

5.我们还需要资料.我们现在已经拿到一台服务器了,实际上是3台,因为220.90.204.42-43和这台的密码一样,而且通过.8这一台可以远程连接上整个网段的所有终端sql端口,经过扫描分析,我又肯定的猜测出了220.90.204.80-96为冒险岛1-17区的sql数据器,220.90.204.79为ID数据库服务器.现在我们有更多的地方获取资料了,我在220.90.204.8,42,43 这3台服务器上又获得了一些sql密码,而且找到了冒险岛的服务端程序,还通过.43这台服务器直接连接到了222.122.59.X这边的web服务器上(管理员可能之前连接上了没关闭).这里我把冒险岛服务端的程序的用处和web服务器的用处分开说一下,同时说我说不太清楚.
服务端程序:通过观察,服务端有2和目录,一个程序目录,一个游戏配置文件和NPC脚本文件目录,我首先查看了所有的游戏配置文件和部分的脚本文件,没有发现游戏数据库的连接密码,只是找到了一些程序的IP,更加肯定了我220.90.204.80-96为冒险岛1-17区的sql数据器的想法.然后转到程序目录里发现有一个database.dll的文件,使用OD打开这个文件→查找所有字符串→很容易的找到了一个密码"xxxxx"(忘记了),拿着这个密码

我连接220.90.204.80-96,都提示密码错误,再看看database.dll这个文件发现是04年8月的,应该是密码已经更换过了.
web服务器:web服务器全是2003的系统,那时间不知道怎么findpass,所以将一台服务器的管理员密码改了连接过去,再用ipc$连接给所有web全部中上了灰鸽子,再然后就开始分析他的web源码.晕~ 也是dll封装的,而且反汇编出来查找到的数据库密码也没有游戏sql的而只有web的sql密码.

这里我就已经放弃了web(第2天所有鸽子全部下线~好像是直接做了路由限制..)

6.柳暗花明又一村.好了,到这里我们似乎除了等管理员自己连接游戏服务器外似乎没有其他的办法了,但是我还是不甘心,我在c盘发现一个没见过的东西.打开一看,竟然是一个备份服务器的管理员信息和IP,其中密码是X号的,我于是下载了一个星号查看器查找出其密码为:dlf1ghl100up,其IP为:220.90.204.78,hoho,又有希望了,让我们mstsc登陆上去看看有什么.一看不要紧~ 挖~~~ 里面就是备份的游戏程序和数据库.于是我赶紧将程序里的database.dll下载回来,使用od一查看得到ID/密码:gamesvr/em.el.dj!qkRnsek,再使用webshell连接220.90.204.80-96,17台服务器全部能连接上~~~ oh yeah~~到这里我的目的已经达到了.

7.权限的丢失.其实利用web刷库是很保险的,但是我又想拿最新的游戏程序服务端(或许还有源码,^-^),所以一直在220.90.204.8这台机器上守株待兔,终于有一天早上,我发现管理员上了,而且开了mstsc,我netstat -an 一看~ 竟然就是连接的游戏服务器.心里一喜,有希望了..思路如下:因为220.90.204.x这个段的IP是没有任何限制的,所以我将220.90.204.8的C盘共享,传了个mt.exe进去.然后将地址复制好:\\220.90.204.8\c$,然后以最快的速度tsadmin连接管理员另外那一边,连接过去后打开共享,输入密码,cmd.exe,mt.exe -findpass.得到密码复制并粘贴上,然后赶紧退出终端,但是终究迟了一步,密码是拿到了,但是我这边也被管理员T下去了,奇怪的是那管理员把我T下去之后他也没有连接,我就这样在鸽子上看了一会,心里想,还是明天再来看吧,反正有游戏服务器的系统密码了,就是这个想法,我错失了一天给我保留权限的机会...第二天所有服务器的连接限制都做好了..不能反向出来,正向端口只有游戏服务器开放的端口...

现在想起来还后悔,那天要是去游戏服务器装个黑门该有多爽啊~~

本文的资料在http://www.cs6.cn/mxd.rar

都是去年的资料,基本都已经失效了,只能做为参考了.