一、起因
不过多贴图了,讲一下渗透思路。
某SF游戏网站样子,下载安装,进行抓包。抓包工具很多,这里只是简单安装了个手机抓包工具进行抓包的。
二、思路
一般SF手游的都是属于一键部署端,这种一般分Linux跟Win俩中系统的,不过大部分都是Win操作系统的,而且大部分都是 PhpStudy的一键环境搭建,直接可以玩的。
这个手游也不例外。一般会存在一个后台GM界面。
三、成功渗透
在通过抓包找到游戏客户端请求的地址之后,进行常规的检查,以及猜解,最后确定一处页面存在POST提交注入漏洞,最后通过工具 获取到权限为Administrator,
并且在常规操作中发现一处页面爆出绝对路径,直接写网马到该路径,远程连接上。
这是GM充值后台