转载希望带版权，也可以联系我们开白。谢谢

本文内容纯属臆想。自慰文章，请勿当真

豪华套餐地址：https://github.com/xiaoy-sec/Pentest_Note 

 有时间就会更新

作为一个万年吃鸡挂壁，不用外挂浑身难受！最近都在LOL无线火力，没有吃鸡了，也不打算白嫖了。所有就写个文章大家一起学习下思路。（已经不在一线工作好多年了，现在都是用老技术白嫖外挂）

想白嫖只能搞网络验证码咯。外挂是有TCP验证跟WEB的API 接口验证的。所以先抓包看下。因为游戏机器安装软件有限。所以用WSExplorer.exe抓包。

发现这个目标是基于WEBAPI 验证的

成功得到网址xxx.com直接跳转到后台

看信息应该是一套网络验证码的成熟产品

网络源代码得到是可可网络验证。

网上搜索了一下有解密破解的低版本源码（希望支持正版源码）。

搞了一套基本上所有的功能都有的。

看了下源代码要吐的。这还是解密过的。后来发现一套比较新的源码也是解密过的。是XCTF的一个WEB题

https://github.com/Xyntax/XCTF-2018-Final-WEB2-PUBG/tree/master/DECODED

也找到了相关Writeup

https://xz.aliyun.com/t/3174

利用wp 相关的漏洞没有利用成功。这里的源码版本还是太低了。

不过根据上面的wp可以先整理下源码里可以用的信息

MYSQLBAKPASSWORD

这个名叫安全接口密码引起了我的注意。可能有对外开放的接口会使用该安全码进行验证。

搜索相关调用发现一个

mysqldatabak.php

文件

代码太长了。大概意思就是通过安全密码验证 然后执行sql备份 打包成zip 然后下载。

组合参数得到

/kss_admin/admin_data.php?action=mysqldatabak_down&pwd=

现在就是不知道目标的安全码是多少。祭出burp随缘爆破

随缘成功。惊不惊喜意不意外？

下载回来数据库本地导入。

利用wp中提到的cookies 伪造

发现现在的cookies 规则变了 而且没有相对于的 kss_inc/_config.php中$COOKKEY的值

现在的规则是

ID%2Cusername%2Cmd5(password)%2C未知字符串

破解md5解密密码。该程序是可以使用中文密码的。很可惜没有解密出超管密码。

成功登录了一个S级代理账号，已经可以成功白嫖了。

可以通过xss钓鱼 搞定管理账号。这里的细节就不放了。

成功登录

Getshell?

网站名有转移利用特性补齐反斜杠执行

地址位于/kss_inc/_config.php