SQL注入FlyFF MMO
原创
- 主要游戏可执行文件)
如您所见,游戏连接到3个不同的服务器,这使我们能够发现多个漏洞。
漏洞利用
在登录阶段,游戏将连接到LoginServer
if( !g_dpLoginClient.ConnectToServer( lpAddr, PN_LOGINSRVR, FLXORProtocol::GetInstance(), TRUE ) )
{
// Can't connect to server
g_WndMng.OpenMessageBox( _T( prj.GetText(TID_DIAG_0043) ) );
CNetwork::GetInstance().OnEvent( LOGIN_CONNECT_FAIL );
break;
}
CNetwork::GetInstance().OnEvent( LOGIN_CONNECTED );并因此初始化g_dpLoginClient类以将数据包直接发送到该服务器。这意味着,如果我们设法在游戏中找到g_dpLoginClient指针,您将能够制作/编辑恶意数据包。
让我们看一下在数据包发送函数中如何使用g_dpLoginClient
void CDPLoginClient::SendCreatePlayer(
BYTE nSlot, LPCSTR lpszPlayer, BYTE nFace,
BYTE nCostume, BYTE nSkinSet, BYTE nHairMesh,
DWORD dwHairColor, BYTE nSex, BYTE nJob,
BYTE nHeadMesh, int nBankPW, BYTE bySelectPage )
{
BEFORESENDSOLE( ar, PACKETTYPE_CREATE_PLAYER, DPID_UNKNOWN );
ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );
ar.WriteString( g_Neuz.m_szPassword );
ar << nSlot;
if( strlen( lpszPlayer ) > 16 )
FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );
ar.WriteString( lpszPlayer );
if( strlen( lpszPlayer ) > 16 )
FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );
ar << nFace << nCostume << nSkinSet << nHairMesh;
ar << dwHairColor;
ar << nSex << nJob << nHeadMesh;
ar << nBankPW;
ar << g_Neuz.m_dwAuthKey;
ar << bySelectPage;
SEND( ar, this, DPID_SERVERPLAYER );
}我们可以看到,通过钩住函数并直接更改参数,或仅通过手工制作CAr缓冲区并调用SEND函数将为我们自动完成所有加密/校验和工作,就可以轻松地操作数据包缓冲区。
这就是漏洞利用发挥作用的地方。我们有2个可以修改的字符串变量
g_Neuz.m_szAccount[42]g_Neuz.m_szPassword[42]
现在,让我们跟踪数据包路径,直到LoginServer纠正它为止。
ON_MSG( PACKETTYPE_CREATE_PLAYER, OnCreatePlayer );void CDPLoginSrvr::OnCreatePlayer( CAr & /*ar*/, DPID dpid, LPBYTE lpBuf, u_long uBufSize )
{
if( g_tSlotActionFlag.bNotCreate == true )
{
SendError( ERROR_SLOT_DONOT_CREATE, dpid );
FLINFO_LOG( PROGRAM_NAME, _T( "." ) );
return;
}
LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus = g_DbManager.AllocRequest();
g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );
lpDbOverlappedPlus->dpid = dpid;
lpDbOverlappedPlus->nQueryMode = CREATEPLAYER;
PostQueuedCompletionStatus( g_DbManager.m_hIOCPGet, 1, NULL, &lpDbOverlappedPlus->Overlapped );
}我们在这里发现了一些非常有趣的东西。深入研究该功能,我们发现它g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );无需进行任何安全性检查即可直接使用数据包缓冲区到DatabaseServer 。
让我们关注数据包在DatabaseServer中的结束位置。
case CREATEPLAYER:
CreatePlayer( pQuery, lpDbOverlappedPlus );
break;void CDbManager::CreatePlayer( CQuery *qry, LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus )
{
CAr arRead( lpDbOverlappedPlus->lpBuf, lpDbOverlappedPlus->uBufSize );
arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szAccount, _countof( lpDbOverlappedPlus->AccountInfo.szAccount ) );
arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szPassword, _countof( lpDbOverlappedPlus->AccountInfo.szPassword ) );该功能可以直接读取我们里面输入缓冲器szAccount,并szPassword与里面只有一个缓冲区溢出漏洞检查ReadString功能。
在此功能的最深处,我们仅找到有关szPlayer我们始终未触及的变量的检查
if( prj.IsInvalidName( lpDbOverlappedPlus->AccountInfo.szPlayer ) ||
prj.IsAllowedLetter( lpDbOverlappedPlus->AccountInfo.szPlayer ) == FALSE )
{
return;
}但这是最有趣的部分
char szQuery[QUERY_SIZE] = { 0,};
DBQryCharacter( szQuery, "I1", 0, g_appInfo.dwSys,
lpDbOverlappedPlus->AccountInfo.szAccount,
lpDbOverlappedPlus->AccountInfo.szPlayer,
nSlot, dwWorldID, dwIndex, vPos.x, vPos.y,
vPos.z, '\0', nSkinSet, nHairMesh,dwHairColor,
nHeadMesh, nSex )DatabaseServer使用szAccount我们可以直接从中操作的变量直接执行MsSQL查询,Neuz.exe而无需进行单个检查。
Pwn
让我们回到客户端
ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );现在想象设置g_Neuz.m_szAccount为
;' DROP pwn_table;-- 局限和缓解
- 我们无法执行庞大的查询,因为我们仅限于42个字符。
- 一个简单的解决方法就是使用SQLBindParameter,它似乎已经在游戏的最新版本中使用。
结论
我们意识到,不仅Web应用程序而且游戏都容易受到SQL注入攻击的攻击。如果没有足够的安全层,对客户端内存进行简单的数据包修改可能会对服务器端产生重大影响。这只是该游戏中可能利用的一个简单展示,但是还有许多其他可能的利用,尤其是在MMO游戏中,因为它们依赖大量的客户端-服务器通信,因此必须确保每个网络组件的安全。在以前的帖子也显示了如何只用游戏的网络搞乱你能够打破东西。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
作者已关闭评论
推荐阅读
目录
腾讯云开发者
