解密菠菜平台的内幕,远离网络赌博,珍爱生命!!!
一、前言
过年回家饭局上碰到一个原来心仪的妹子 , 虽然已经4、5年没见面了 , 妹子见到我还是分外亲热 , 不仅主动挨着我坐着 , 居然还邀请我一起玩游戏 , 心中窃喜不已 , 哥们王者刚上了王者星耀 , 先好好炫一下技术 , 然后……
妹子就给我发来了这个:
文章图片
下载一看 , 尼玛什么鬼 , 妹子居然也玩网络棋牌了 , 这种小游戏一般都很弱啊 , 要是能把他拿下来 , 岂不是可以让妹子好好崇拜一下 , 别人都说妹子喜欢一个男人是从崇拜他开始的……嗯……
文章图片
二、目标分析
言归正传 , 访问目标主站 , 只有一个游戏下载页面 , 暂时没发现什么有价值的东东 , 先放一放 。
在Android模拟器上安装游戏 , 配置好burpsuite代理 , 并开始用wireshark抓包进行流量分析 。 启动游戏 , 发现app会通过www.game1579.com进行身份认证并获取游戏基本信息 , 另一个URL是http://fjsss.ruiyoushouyou.com 。
文章图片
简单测试了一下已知的几个API , 未发现明显漏洞 , 同时发现该服务器安装有安全狗 。
文章图片
继续分析流量 , 发现了一个比较关键的功能:用户通过微信登陆成功后 , APP会把用户头像上传到服务器上 , 在APP加载的时候从WEB服务器上读取用户头像 。 而文件上传的操作 , 是通过/Public/XmlHttpUser.aspx这个API来完成的 。
注:本文原作者:xiaotouming , 转载于FreeBuf.COM
三、过程
1)任意文件上传配合web.config绕过安全狗getshell
漏洞位置:http://www.game1579.com/Public/XmlHttpUser.aspx?type=AddImg
文章图片
filename参数可以控制文件上传的文件名 , 配合../可以跨目录 。 但是直接上传asp或者aspx会被安全狗拦截 , 因此 , 此处需要利用web.config来让iis解析自定义的后缀 。
但是这个服务器不能解析自定义后缀的aspx文件 , 只能为asp自定义后缀 , 尝试向当前目录写入web.config , 将asdx解析为asp 。 然后写入asdx后缀的aspwebshell , 由于安全狗会拦截菜刀 , 此处只写入了一个最基本的cmdshell 。
文章图片
然后上传操作数据库的aspxshell , 利用move命令将后缀改为aspx , 读取web.config获得数据库连接字符串 。 此处简单把sql语句reverse了一下 , 防止安全狗拦截 , 然后就直接system了 。
文章图片
2)后台
System是远远不够的 , 我一定要进后台满足一下小小好奇心 。
读取iis配置 , 发现网站管理后台在8080端口的admin目录下 , 但是无法直接从外网访问到 。 读取iis日志 , 也发现admin的访问记录 , 分析发现应该是iis做了ip限制 。 截取一部分日志……
文章图片
虽然你有限制 , 但我有system权限啊 , 上了一个meterpreter , 抓到了系统管理员密码明文:AdministratorNfrsWQ86r^n9$***
将8080端口转发到本地 , 分析web代码 , 从数据库中找到网站管理员的账号和密码hash , 破解后得到明文 , 神奇后台闪亮登场:
文章图片
文章图片
四、一些令人惊讶的小发现
1)游戏采取代理进行管理
代理后台位于网站主站的AgencyPhone目录下 , 通过代理可以向任意用户发放钻石(房卡) , 游戏后台管理员可以给代理充钻石 。
文章图片
2)钻石的有偿交易
在游戏中 , 玩家要进行对局 , 需要消耗钻石 , APP提供了钻石购买功能 , 允许玩家使用微信支付来购买钻石 , 也可以向代理购买 , 代理向玩家出售钻石 , 并通过其他支付手段来收取费用 , 以进一步逃避监管 。 部分高权限的代理可以继续招收下级代理 , 所有代理与二级代理之间的交易都有据可查 。
文章图片
3)游戏可以作弊
管理员不仅搭平台坐庄 , 还搞了一批“机器”做高胜率赚玩家钱 。
文章图片
五、后续的拓展
后续通过各种关联分析 , 又搞定了一批目标 , 过程太复杂 , 大概就是程序内特征+IP&域名+全网特征扫描:
文章图片
以下为各APP抓取的明文密码与通用充值接口 , 根据其采取的充值接口一致、关联关系与密码一致性可以明确为一个团伙作案 , 用户总规模近100万 , 总金额由于大量采取代理线下交接 , 无法准确统计 , 但光代理产生的钻石流水就已经突破了公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》中规定的“赌资数额累计达到30万元以上的属于情节严重 , 处3年以上10年以下有期徒刑 , 并处罚金” 。
文章图片
六、总结
【解密菠菜平台的内幕,远离网络赌博,珍爱生命!!!】以上六个APP为同一团队运营 , 均为专业性赌博APP , 用户规模近100万 , 不仅通过各级代理组织线上赌博 , 且通过后台操作胜率对玩家黑吃黑 , 既不合法、也不合理 。 老衲能做的只能是将之公布出来 , 后面的就交给警察叔叔了 。
推荐阅读
![[五商玩卡]网友:库克真会偷懒!,苹果始料不及!代工小哥冒险曝光](https://imgcdn.toutiaoyule.com/20200305/20200305224210891354a_t.jpeg)
- 腾讯控股的保险代理平台“微保”被深圳银保监局处罚
- 传《GTA5》将登陆谷歌云游戏平台Stadia
- 吃播秀浪费粮食,该治!平台方积极引导,点赞!
- 平台企业|双龙交警、运管联手出击!!对机场路上不文明行为实施“零”容忍
- 中国经济网—《经济日报》|吃播秀浪费粮食,该治! 平台方积极引导,点赞!
- 接口|视频上云网关平台EasyCVR接口文档使用中需要注意哪些?
- 现货黄金|富格林:拆解黑平台陷阱减少冤枉亏损
- 代办|小区近300户被莫名注册公司 记者暗访:代办平台提供虚假地址
- Java|软件开发平台之争:NET VS Java,谁是更好的选择?
- 网贷平台|中国移动的业绩再证5G耗电量惊人