岂安科技

最真诚的业务安全公众号

过年回家饭局上碰到一个原来心仪的妹子，虽然已经4、5年没见面了，妹子见到我还是分外亲热，不仅主动挨着我坐着，居然还邀请我一起玩游戏，心中窃喜不已，哥们王者刚上了王者星耀，先好好炫一下技术，然后……

妹子就给我发来了这个：

下载一看，尼玛什么鬼，妹子居然也玩网络棋牌了，这种小游戏一般都很弱啊，要是能把他拿下来，岂不是可以让妹子好好崇拜一下，别人都说妹子喜欢一个男人是从崇拜他开始的……

嗯……

言归正传，访问目标主站，只有一个游戏下载页面，暂时没发现什么有价值的东东，先放一放。

在 Android 模拟器上安装游戏，配置好 burpsuite 代理，并开始用 wireshark 抓包进行流量分析。启动游戏，发现 app 会通过www.game1579.com 进行身份认证并获取游戏基本信息，另一个URL是 http://fjsss.ruiyoushouyou.com 。

简单测试了一下已知的几个API，未发现明显漏洞，同时发现该服务器安装有安全狗。

继续分析流量，发现了一个比较关键的功能：用户通过微信登陆成功后，APP会把用户头像上传到服务器上，在APP加载的时候从WEB服务器上读取用户头像。而文件上传的操作，是通过 /Public/XmlHttpUser.aspx 这个API来完成的。

➦ 任意文件上传配合 web.config 绕过安全狗 getshell

漏洞位置：

http://www.game1579.com/Public/XmlHttpUser.aspx?type=AddImg

filename 参数可以控制文件上传的文件名，配合 ../ 可以跨目录。但是直接上传 asp 或者 aspx 会被安全狗拦截，因此，此处需要利用web.config来让iis解析自定义的后缀。

但是这个服务器不能解析自定义后缀的 aspx 文件，只能为 asp 自定义后缀，尝试向当前目录写入 web.config，将 asdx 解析为 asp。然后写入 asdx 后缀的 asp webshell，由于安全狗会拦截菜刀，此处只写入了一个最基本的 cmdshell。

然后上传操作数据库的 aspx shell，利用 move 命令将后缀改为 aspx，读取 web.config 获得数据库连接字符串。此处简单把 sql 语句 reverse 了一下，防止安全狗拦截，然后就直接 system 了。

➦ 后台

System 是远远不够的，我一定要进后台满足一下小小好奇心。

读取iis配置，发现网站管理后台在 8080 端口的 admin 目录下，但是无法直接从外网访问到。读取 iis 日志，也发现 admin 的访问记录，分析发现应该是 iis 做了 ip 限制。截取一部分日志……

虽然你有限制，但我有 system 权限啊，上了一个 meterpreter，抓到了系统管理员密码明文：Administrator NfrsWQ86r^n9$*。

将8080端口转发到本地，分析 web 代码，从数据库中找到网站管理员的账号和密码hash，破解后得到明文，神奇后台闪亮登场：

代理后台位于网站主站的 AgencyPhone 目录下，通过代理可以向任意用户发放钻石（房卡），游戏后台管理员可以给代理充钻石。

在游戏中，玩家要进行对局，需要消耗钻石，APP 提供了钻石购买功能，允许玩家使用微信支付来购买钻石，也可以向代理购买，代理向玩家出售钻石，并通过其他支付手段来收取费用，以进一步逃避监管。部分高权限的代理可以继续招收下级代理，所有代理与二级代理之间的交易都有据可查。

管理员不仅搭平台坐庄，还搞了一批“机器”做高胜率赚玩家钱。

后续通过各种关联分析，又搞定了一批目标，过程太复杂，大概就是程序内特征 + IP& 域名 + 全网特征扫描：

以下为各APP抓取的明文密码与通用充值接口，根据其采取的充值接口一致、关联关系与密码一致性可以明确为一个团伙作案，用户总规模近100万，总金额由于大量采取代理线下交接，无法准确统计，但光代理产生的钻石流水就已经突破了公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》中规定的“赌资数额累计达到30万元以上的属于情节严重，处3年以上10年以下有期徒刑，并处罚金”。

以上六个 APP 为同一团队运营，均为专业性赌博 APP，用户规模近 100 万，不仅通过各级代理组织线上赌博，且通过后台操作胜率对玩家黑吃黑，既不合法、也不合理。老衲能做的只能是将之公布出来，后面的就交给警察叔叔了。同时也敬告aliyun、yundun等企业，服务器上架要做好监督与核查，欢迎jcss站内私信，更多证据链可以提供……

*本文作者：xiaotouming，转载请注明来自 FreeBuf.COM