首页
论坛
课程
招聘

[原创]偶然的幸运

2009-9-13 09:14 5819

[原创]偶然的幸运

2009-9-13 09:14
5819
前几日,发现笔记本电脑无法启动的几天之后,台式机又出现严重花屏。华丽的悲剧了……

于是抱着老姐的笔记本只能玩玩山口山私服,不敢上官服,你说万一被盗了就更悲剧了。不过TBC怎么玩都是那么的蛋疼……

镜头回到昨日深夜,搜寻新私服的我登录了某服,惯例的注册再下登录器。然后运行登陆器之后,点击左下角的“选择客户端类型”确出现了一个需要输入账号的框。

这是什么情况?尝试输入了我新注册的号,结果什么都没发生。这时候我郁闷了。。

于是呼打开了OD准备看看究竟什么情况。

OD载入之后,眼熟的OEP让我继续运行了DeDe,然后从DFM信息中发现了这个事件是RadioGroup2Click。
  object RadioGroup2: TRadioGroup
    Left = 8
    Top = 272
    Width = 153
    Height = 57
    Caption = 选择客户端类型
    Color = clWindowText
    Font.Charset = DEFAULT_CHARSET
    Font.Color = clWindow
    Font.Height = -11
    Font.Name = 'MS Sans Serif'
    Font.Style = []
    ItemIndex = 0
    Items.Strings = (
      末日回响客户端
      巫妖王之怒客户端)
    ParentColor = False
    ParentFont = False
    TabOrder = 3
    OnClick = RadioGroup2Click
  end


与此同时,我还注意到了下面2个有爱的对象:
  object MySQLServer1: TMySQLServer
    Host = '和和'
    Port = 谐谐
    UserName = '协和协和'
    Password = '和谐和谐'
    Left = 136
    Top = 144
  end
  object MySQLQuery1: TMySQLQuery
    Server = MySQLServer1
    Left = 168
    Top = 144
  end



然后我们来看RadioGroup2Click过程:
* Possible String Reference to: '请输入帐号:    '
|
0050060D   BA94075000             mov     edx, $00500794

* Possible String Reference to: '输入登陆帐号'
|
00500612   B8B0075000             mov     eax, $005007B0

* Reference to : TMessageForm._PROC_00434974()
|
00500617   E85843F3FF             call    00434974



这样么,我们知道了那个账号框的来历,看来后续的处理并不是在某个新建的窗体里面,而是在后面,这样大好。再往后面看,我们发现了这些:
* Possible String Reference to: 'select * from account where username=''
* Possible String Reference to: 'update account set expansion=1 where username=''
这样,就明显了,程序使用我们的用户名向服务器的SQL Server查询了一些信息。

不过作为Mangos架构的服务器来说,SQLServer一般都是作为DS(DataServer)存在的,所以这个服务器会不会就是这个私服的DS呢?
(什么?你不知道能进入DS的好处?赶快去google一下吧,地球是很危险的,不像火星那么安全的……)
然后我们切换进OD来跟踪这个过程,慢慢摇曳中,发现了如下的一系列调用:
004B29B3   .  B9 382C4B00   mov     ecx, 004B2C38                                                                ;  ASCII "host"
004B29B8   .  BA 482C4B00   mov     edx, 004B2C48                                                                ;  ASCII "client"
004B29BD   .  E8 4ED3FDFF   call    <SockRequestInterpreter.TWebRequestDataBlockInterpreter.CallTranslateURI>

004B29FE   .  B9 582C4B00   mov     ecx, 004B2C58                                                                ;  ASCII "port"
004B2A03   .  BA 482C4B00   mov     edx, 004B2C48                                                                ;  ASCII "client"
004B2A08   .  E8 03D3FDFF   call    <SockRequestInterpreter.TWebRequestDataBlockInterpreter.CallTranslateURI>

004B2A2C   .  B9 682C4B00   mov     ecx, 004B2C68                                                                ;  ASCII "user"
004B2A31   .  BA 482C4B00   mov     edx, 004B2C48                                                                ;  ASCII "client"
004B2A36   .  E8 D5D2FDFF   call    <SockRequestInterpreter.TWebRequestDataBlockInterpreter.CallTranslateURI>

004B2A6B   .  B9 782C4B00   mov     ecx, 004B2C78                                                                ;  ASCII "password"
004B2A70   .  BA 482C4B00   mov     edx, 004B2C48                                                                ;  ASCII "client"
004B2A75   .  E8 96D2FDFF   call    <SockRequestInterpreter.TWebRequestDataBlockInterpreter.CallTranslateURI>



由于我没用过Delphi,所以我不知道这究竟是对应着什么样的Delphi代码,虽然看起来更像是VCL而不是用户代码。不过这并不影响我用猜的。
于是我猜,这个Client是一个结构之类的,然后填充了4个成员变量,然后去连接。不过似乎我只需要知道这4个变量究竟填了什么就可以了,毕竟我们还有Navicat不是么?

然后顺利的用Navicat登录这个SQL Server,神奇的是这个有爱的账号可以对整个DS进行RW操作。于是我把我自己和服务器上另外一个陌生人刷成了最好的会员装备,某技能可以的210W的伤害,而且还是无CD的,表示你能放出的速度完全取决于你能按的多快!

疯狂的一夜,幸福的一夜。

为了表示尊重,文章中与该服务器相关的信息已全部和谐……

[推荐]看雪企服平台,提供项目众包、渗透测试、安全分析、定制项目开发、APP等级保护等安全服务!

上传的附件:
最新回复 (9)
leking 2009-9-13 10:14
2
0

好运是给有准备的人,为楼主感到高兴
dayang 2009-9-13 15:54
3
0
不知道直接嗅探的话,能不能直接搞到SQL密码?
fengchen 2009-9-13 16:04
4
0
果然厉害啊,这样也可以
kxalpah 2009-9-15 23:03
5
0
呵呵,真好啊
cxlll 2009-9-17 14:52
6
0
嘿嘿,搞这个4F的没有整好哦,居然这种都出来了
大头和尚 2009-9-17 19:29
7
0
这招要是流传出去,估计SF的假设者要哭了
appleai 2009-9-18 02:35
8
0
果然厉害啊,这样也可以
drhust 2009-9-18 13:07
9
0
好强大 佩服啊
djdaizi 2009-9-18 14:18
10
0
楼主也太幸运了吧我怎么没有碰到过呢
游客
登录 | 注册 方可回帖
返回