SQL注入FlyFF

2021-7-21 15:13| 发布者: admin| 查看: 1852| 评论: 0

摘要: 客户端和服务器的结构服务器端AccountServer.exeCacheServer.exe(端口5400)CoreServer.exeCertifierServer.exe(端口23000)DatabaseServer.exeLoginServer.exe(端口28000)WorldServer.exe客户端Neuz.exe(主要 ...

客户端和服务器的结构

服务器端

  • AccountServer.exe
  • CacheServer.exe(端口5400)
  • CoreServer.exe
  • CertifierServer.exe(端口23000)
  • DatabaseServer.exe
  • LoginServer.exe(端口28000)
  • WorldServer.exe

客户端

  • Neuz.exe(主要游戏可执行文件)

如您所见,游戏连接到3个不同的服务端,这使我们能够发现多个漏洞。

漏洞利用

在登录阶段,游戏将连接到LoginServer

if( !g_dpLoginClient.ConnectToServer( lpAddr, PN_LOGINSRVR, FLXORProtocol::GetInstance(), TRUE ) )
{
	// Can't connect to server
	g_WndMng.OpenMessageBox( _T( prj.GetText(TID_DIAG_0043) ) );
	CNetwork::GetInstance().OnEvent( LOGIN_CONNECT_FAIL );
	break;
}
CNetwork::GetInstance().OnEvent( LOGIN_CONNECTED );

并因此初始化g_dpLoginClient类以将数据包直接发送到该服务器。这意味着,如果我们设法在游戏中找到g_dpLoginClient指针,您将能够制作/编辑恶意数据包。

让我们看一下在数据包发送函数中如何使用g_dpLoginClient

void CDPLoginClient::SendCreatePlayer(
	BYTE nSlot, LPCSTR lpszPlayer, BYTE nFace, 
	BYTE nCostume, BYTE nSkinSet, BYTE nHairMesh, 
	DWORD dwHairColor, BYTE nSex, BYTE nJob, 
	BYTE nHeadMesh, int nBankPW, BYTE bySelectPage )
{
	BEFORESENDSOLE( ar, PACKETTYPE_CREATE_PLAYER, DPID_UNKNOWN );
	ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );
	ar.WriteString( g_Neuz.m_szPassword );
	ar << nSlot;

	if( strlen( lpszPlayer ) > 16 )
		FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );
	ar.WriteString( lpszPlayer );
	if( strlen( lpszPlayer ) > 16 )
		FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );
	

	ar << nFace << nCostume << nSkinSet << nHairMesh;
	ar << dwHairColor;
	ar << nSex << nJob << nHeadMesh;
	ar << nBankPW;
	ar << g_Neuz.m_dwAuthKey;

	ar << bySelectPage;

	SEND( ar, this, DPID_SERVERPLAYER );
}

我们可以看到,通过钩住函数并直接更改参数,或仅通过手工制作一个CAr缓冲区并调用该SEND函数将为我们自动完成所有加密/校验和工作,就可以轻松地操作数据包缓冲区

这就是漏洞利用发挥作用的地方。我们有2个可以修改的字符串变量

  • g_Neuz.m_szAccount[42]
  • g_Neuz.m_szPassword[42]

现在,让我们跟踪数据包路径,直到LoginServer纠正它为止。

ON_MSG( PACKETTYPE_CREATE_PLAYER, OnCreatePlayer );
void CDPLoginSrvr::OnCreatePlayer( CAr & /*ar*/, DPID dpid, LPBYTE lpBuf, u_long uBufSize )
{
	if( g_tSlotActionFlag.bNotCreate == true )
	{
		SendError( ERROR_SLOT_DONOT_CREATE, dpid );
		FLINFO_LOG( PROGRAM_NAME, _T( "." ) );
		return;
	}

	LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus = g_DbManager.AllocRequest();
	g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );
	lpDbOverlappedPlus->dpid = dpid;
	lpDbOverlappedPlus->nQueryMode = CREATEPLAYER;
	PostQueuedCompletionStatus( g_DbManager.m_hIOCPGet, 1, NULL, &lpDbOverlappedPlus->Overlapped );
}

我们在这里发现了一些非常有趣的东西。深入研究该函数,我们发现它g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );无需进行任何安全性检查即可直接使用数据包缓冲区到DatabaseServer 

让我们跟随数据包在DatabaseServer中的结束位置。

case CREATEPLAYER:
	CreatePlayer( pQuery, lpDbOverlappedPlus );
	break;
void CDbManager::CreatePlayer( CQuery *qry, LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus )
{
	CAr arRead( lpDbOverlappedPlus->lpBuf, lpDbOverlappedPlus->uBufSize );
	
	arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szAccount, _countof( lpDbOverlappedPlus->AccountInfo.szAccount ) );
	arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szPassword, _countof( lpDbOverlappedPlus->AccountInfo.szPassword ) );

该功能可以直接读取我们里面输入缓冲器szAccount,并szPassword与里面只有一个缓冲区溢出漏洞检查ReadString功能。

在此功能的最深处,我们仅找到有关szPlayer我们始终未触及变量的检查

if( prj.IsInvalidName( lpDbOverlappedPlus->AccountInfo.szPlayer ) || 
    prj.IsAllowedLetter( lpDbOverlappedPlus->AccountInfo.szPlayer ) == FALSE )
{
	return;
}

但这是最有趣的部分

char szQuery[QUERY_SIZE]	= { 0,};
DBQryCharacter( szQuery, "I1", 0, g_appInfo.dwSys, 
		lpDbOverlappedPlus->AccountInfo.szAccount, 
		lpDbOverlappedPlus->AccountInfo.szPlayer, 
		nSlot, dwWorldID, dwIndex, vPos.x, vPos.y, 
		vPos.z, '\0', nSkinSet, nHairMesh,dwHairColor, 
		nHeadMesh, nSex )

DatabaseServer使用szAccount我们可以直接从中操作变量直接执行MsSQL查询Neuz.exe而无需进行一次检查。

Pwn

让我们回到客户端

ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );

现在想象设置g_Neuz.m_szAccount

 ;' DROP pwn_table;-- 

局限和缓解

  • 我们无法执行庞大的查询,因为我们仅限于42个字符。
  • 一个简单的解决方法就是使用SQLBindParameter,它似乎已经在游戏的最新版本中使用。

路过

雷人

握手

鲜花

鸡蛋

相关分类

Powered by Discuz! X3.4 © 2001-2018 Comsenz Inc.

返回顶部