服务器端
- AccountServer.exe
- CacheServer.exe(端口5400)
- CoreServer.exe
- CertifierServer.exe(端口23000)
- DatabaseServer.exe
- LoginServer.exe(端口28000)
- WorldServer.exe
客户端 如您所见,游戏连接到3个不同的服务端,这使我们能够发现多个漏洞。 在登录阶段,游戏将连接到LoginServer if( !g_dpLoginClient.ConnectToServer( lpAddr, PN_LOGINSRVR, FLXORProtocol::GetInstance(), TRUE ) )
{
// Can't connect to server
g_WndMng.OpenMessageBox( _T( prj.GetText(TID_DIAG_0043) ) );
CNetwork::GetInstance().OnEvent( LOGIN_CONNECT_FAIL );
break;
}
CNetwork::GetInstance().OnEvent( LOGIN_CONNECTED );
并因此初始化g_dpLoginClient类以将数据包直接发送到该服务器。这意味着,如果我们设法在游戏中找到g_dpLoginClient指针,您将能够制作/编辑恶意数据包。 让我们看一下在数据包发送函数中如何使用g_dpLoginClient void CDPLoginClient::SendCreatePlayer(
BYTE nSlot, LPCSTR lpszPlayer, BYTE nFace,
BYTE nCostume, BYTE nSkinSet, BYTE nHairMesh,
DWORD dwHairColor, BYTE nSex, BYTE nJob,
BYTE nHeadMesh, int nBankPW, BYTE bySelectPage )
{
BEFORESENDSOLE( ar, PACKETTYPE_CREATE_PLAYER, DPID_UNKNOWN );
ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );
ar.WriteString( g_Neuz.m_szPassword );
ar << nSlot;
if( strlen( lpszPlayer ) > 16 )
FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );
ar.WriteString( lpszPlayer );
if( strlen( lpszPlayer ) > 16 )
FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );
ar << nFace << nCostume << nSkinSet << nHairMesh;
ar << dwHairColor;
ar << nSex << nJob << nHeadMesh;
ar << nBankPW;
ar << g_Neuz.m_dwAuthKey;
ar << bySelectPage;
SEND( ar, this, DPID_SERVERPLAYER );
}
我们可以看到,通过钩住函数并直接更改参数,或仅通过手工制作一个CAr缓冲区并调用该SEND函数将为我们自动完成所有加密/校验和工作,就可以轻松地操作数据包缓冲区。 这就是漏洞利用发挥作用的地方。我们有2个可以修改的字符串变量 g_Neuz.m_szAccount[42]g_Neuz.m_szPassword[42]
现在,让我们跟踪数据包路径,直到LoginServer纠正它为止。 ON_MSG( PACKETTYPE_CREATE_PLAYER, OnCreatePlayer );
void CDPLoginSrvr::OnCreatePlayer( CAr & /*ar*/, DPID dpid, LPBYTE lpBuf, u_long uBufSize )
{
if( g_tSlotActionFlag.bNotCreate == true )
{
SendError( ERROR_SLOT_DONOT_CREATE, dpid );
FLINFO_LOG( PROGRAM_NAME, _T( "." ) );
return;
}
LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus = g_DbManager.AllocRequest();
g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );
lpDbOverlappedPlus->dpid = dpid;
lpDbOverlappedPlus->nQueryMode = CREATEPLAYER;
PostQueuedCompletionStatus( g_DbManager.m_hIOCPGet, 1, NULL, &lpDbOverlappedPlus->Overlapped );
}
我们在这里发现了一些非常有趣的东西。深入研究该函数,我们发现它g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );无需进行任何安全性检查即可直接使用数据包缓冲区到DatabaseServer 。 让我们跟随数据包在DatabaseServer中的结束位置。 case CREATEPLAYER:
CreatePlayer( pQuery, lpDbOverlappedPlus );
break;
void CDbManager::CreatePlayer( CQuery *qry, LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus )
{
CAr arRead( lpDbOverlappedPlus->lpBuf, lpDbOverlappedPlus->uBufSize );
arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szAccount, _countof( lpDbOverlappedPlus->AccountInfo.szAccount ) );
arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szPassword, _countof( lpDbOverlappedPlus->AccountInfo.szPassword ) );
该功能可以直接读取我们里面输入缓冲器szAccount,并szPassword与里面只有一个缓冲区溢出漏洞检查ReadString功能。 在此功能的最深处,我们仅找到有关szPlayer我们始终未触及的变量的检查 if( prj.IsInvalidName( lpDbOverlappedPlus->AccountInfo.szPlayer ) ||
prj.IsAllowedLetter( lpDbOverlappedPlus->AccountInfo.szPlayer ) == FALSE )
{
return;
}
但这是最有趣的部分 char szQuery[QUERY_SIZE] = { 0,};
DBQryCharacter( szQuery, "I1", 0, g_appInfo.dwSys,
lpDbOverlappedPlus->AccountInfo.szAccount,
lpDbOverlappedPlus->AccountInfo.szPlayer,
nSlot, dwWorldID, dwIndex, vPos.x, vPos.y,
vPos.z, '\0', nSkinSet, nHairMesh,dwHairColor,
nHeadMesh, nSex )
DatabaseServer使用szAccount我们可以直接从中操作的变量直接执行MsSQL查询,Neuz.exe而无需进行一次检查。 让我们回到客户端 ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );
现在想象设置g_Neuz.m_szAccount为 | 
发布你收集到的老飞飞
