我与私服的恩恩怨怨之二

微信公众号：渊龙Sec安全团队
为国之安全而奋斗，为信息安全而发声！
如有问题或建议，请在公众号留言
如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们

前言

前些日子，无聊正在和大佬吹牛逼，忽然手机抖了抖，拿起来看一下

嘶~好家伙，广告都打我头上了！
必须搞他…必须…还是先看看吧（本人技术菜嘛）

前期观察

既然上面有群号，那我先加群观察观察

很明显是有后台的私服嘛！那先找找服务器IP和后台地址（像这些个人搭建的私服，一般是单个服务器搭建的，后台与游戏、数据都放在一起）
这里有三个思路去查找服务器IP和后台地址：

• 通过APK反编译按照一定路径寻找服务器地址（这些私服安装包一般没有加壳）

• 找GM管理员购买后台（最简单的方法）

• 有些群里面会自己发出来（但很可惜这个群并不是）

由于本人电脑垃圾，所以简洁明了的花了30买了个后台

拿到了服务器后台地址（事后GetShell确认该私服为单服务器结构）
http://13*.***.***.11:81/lzght/
根据我的初步观察，该服务器为Linux+MySQL5.7+PHP Version 5.6.40

（随后GM管理员找我，要了UID，看来是要验证UID的）
后台地址已经拿到了，就尝试找一下漏洞

漏洞利用

1、后台无数据长度限制过滤

可以通过该方法无限刷，卡死服务器（如999999999999999）

2、存在SQL注入漏洞

而且是root权限（绝对路径可以通过猜测获得）
SQL注入需要进行绕过（请自行写脚本绕过），并且私服是龙之谷冰龙版本，绝对路径默认为/www/wwwroot/127.0.0.1/

故配合SQLmap+自己书写绕过脚本+一定的运气，就可以导出文件

提权

缘于我对Linux不熟悉，故这个我委托朋友去搞了，他给我的回复是
脏牛+bypass disable_functions via LD_PRELOA一条龙

这个网上可以找到大量文章，请自行研究

后续

脱库+打包+删库一条龙

从后台配置文件中找到数据库账号密码，远程连接看看

emmmm…..管理员关闭了远程连接，不慌！我开启就行了
用PHP开启mysql外链

$link=@mysqli_connect('localhost','root',root);mysqli_select_db($link,'mysql');mysqli_set_charset($link,'utf8');mysqli_query($link,"update user set host = '%'where user= 'root';");mysqli_query($link,"GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;");mysqli_query($link,"flush privileges;");

链接成功，OK，脱库+删库呗！

结束语

至于为什么不给出绕过脚本？

因为本宝宝要玩，而且也把怕一些愣头青恶意破坏别人的服务器
故不给不给不给！！！（现在已经拿下了几十个这种的私服了。。。有点无聊）
本人菜的抠脚希望大佬们多多指教

我是少陵野老，我在渊龙Sec安全团队等你
微信公众号：渊龙Sec安全团队
欢迎关注我，一起学习，一起进步~
本篇文章为团队成员原创文章，请不要擅自盗取！