声明

在取得授权下对某违法棋牌 app 进行渗透。故事情节纯属编造，如有雷同，纯属巧合。目的为了劝诫不要参与赌博和黑灰产。

编故事

起因

在部分欠发达地区，很多人在手机上选择的娱乐方式还是玩玩斗地主、打打麻将。

最近由于众所周知的经济原因，做矿产生意的老刘从前几年的迈巴赫都换成了面包车，房子都抵押了还负债几千万。他也负隅顽抗过，各种想办法找出路，但是一直收效甚微，工程款迟迟回不来，消沉在家的他被老婆看到了又是一番数落。偶然间在车的后视镜上看到一个二维码，扫一扫后下载了一个棋牌游戏，为了消磨时光渐渐走上不归路。

最开始需要添加本地代理微信充值才能玩游戏，而且首充 50 送 200，赢的钱支持提现。大腹便便的老刘生活在川渝地区，很小就开始接触到麻将和打牌，第一份工作就是销售，那段时间天天陪客户打牌，聪明的他慢慢学会了记牌和算牌，随着熟练度提高，他赢多输少，自此收获了许多牌友和客户。但是树大招风，有几次赢了太多钱，几个不熟的朋友做局坑了他一把，那天晚上他上头了输了几十万，后来就不怎么打牌了。

老刘翻了一下代理的朋友圈，看到他在推广充值优惠活动，发现还有认识的朋友点赞，于是去问了问这游戏怎么样，朋友打个电话过来说，不方便打字，这游戏挺好的啊，据说是本地 xx 老板开的盘，保证绝对公平。

老刘开始了网赌之路。这个 app 总是失效，需要联系代理去新的链接下载；app 进入后总会提示本游戏纯属娱乐，禁止充值提现，实际上只是没有线上充值提现入口，走的全是代理人的微信；代理微信有时候会被封号，还需要及时添加他的小号。最开始老刘还可以每天赢几百块钱，因为给他匹配的玩家都呆呆的，总会有各种失误。慢慢自信心大增的他加大了赌注却开始输多赢少，他理解为高级赛场里面的玩家都是高手，于是也苦心钻研技术。可惜情况还是照旧，更是在一天内输了几万块钱且被封号后幡然醒悟：这是不是个骗局？但是他还是心有不甘，通过各种渠道找到了我，想破解看下，以及能不能自己投钱开发一个。

经过

我通过老刘提供的 app 开始抓包，发现无论 Charles、burp 还是小黄鸟之流都无法抓到数据包，使用 wireshark 倒是可以，但是解析不出有用数据。通过物理机刷机root+Xposed+SSL unpinning+just trust me+透明代理终于得到了一个关键域名，但是这个域名下面的 IP 全是来自 CF 的 CDN，根本无法定位到目标服务器。根据需要邀请码+个人微信认证才能进入，最后只好拖入jd-gui反编译，搜索【邀请码】字样定位到关键函数，把登录的验证改为任何情况都为 true，重新打包签名即可进入。

进入后就柳暗花明了，通过此 app 的游戏 socket 流找到一个关键 IP，然后进行信息收集+漏洞验证：

1. 通过端口扫描工具扫出几个高危资产端口，有 ssh、rdp、ftp、MySQL 等，挨个尝试了当前版本常见漏洞验证和弱口令爆破，不仅没成功还被 ban 了我一台 VPS 的 IP，也就是说我这台电脑被他的防火墙拉入黑名单无法再尝试访问和操作了，于是租了一个 IP 代理池接着干；
2. 通过子域名和目录扫描工具找到一批类似于管理后台的站点，而且服务器都在海外，但是这些 url 不是 502 就是 403，明显是只允许管理员访问，普通用户不许访问更不用说登录了；
3. 浏览器 F12 查看这批管理后台的前端代码，发现了一些特征，根据 icon_hash 和特征在 fofa 里面搜了一下，得到了一批同类站点，挨个点进去发现有一些能访问，尝试了弱口令爆破直接进去了：

权限

后台最搞笑的是一共 2200 个玩家居然有 2000 个是机器人:

通过一个文件上传拿到了 webshell，可以翻服务器了：通过服务器文件某 config 文件，找到了数据库账号密码并连接：

根据这些字段就可以看出游戏的大体架构：管理员操作日志、游戏列表、游戏抽水率等。

目前这些还都是测试站，只拿到了低用户权限，于是继续深入，找到了 redis 密码，于是搞了个 dll 侧载并提权，内网看到了其他服务器和资产，并整理了如下信息交给公安同志去打击：

1. 域名：其服务器不仅做了棋牌业务，还做了国内合法的在线教育站点，此域名在万网注册并实名；
2. 宝塔：开发搭建人员使用了宝塔且个人实名手机号绑定。

结果

老刘得知真实玩家只有 200 多人，机器人居然高达 2000 人，而且后台可以随意调整胜负的倍率，真是笑不出来。又把托关系找到了一套 x 星棋牌源码给我看问我能不能自己搭建一套。我严肃地告诉他：你不怕被抓吗？违法的事情。他此时还是不以为意地说道：没有漏洞不就行了撒。

我当即掏出 vs code，把他的源码放里面一看，搜了几个关键字就定位到好几处 sql 注入，并告诉他这种漏洞直接可以获取服务器所有数据，根据你的操作记录还可以精准找到你。

他长叹一声：罢了，违法乱纪的事情还是不能做啊!