浅谈SQL注入FlyFF漏洞解析
摘要: 客户端和服务器的结构服务器端AccountServer.exeCacheServer.exe(端口5400)CoreServer.exeCertifierServer.exe(端口23000)DatabaseServer.exeLoginServer.exe(端口28000)WorldServer.exe客户端Neuz.exe
客户端和服务器的结构
服务器端
- AccountServer.exe
- CacheServer.exe(端口5400)
- CoreServer.exe
- CertifierServer.exe(端口23000)
- DatabaseServer.exe
- LoginServer.exe(端口28000)
- WorldServer.exe
客户端 - Neuz.exe(主要游戏可执行文件
如您所见,游戏连接到3个不同的服务端,这使我们能够发现多个漏洞。
漏洞利用
在登录阶段,游戏将连接到LoginServer
if( !g_dpLoginClient.ConnectToServer( lpAddr, PN_LOGINSRVR, FLXORProtocol::GetInstance(), TRUE ) )
{// Can't connect to serverg_WndMng.OpenMessageBox( _T( prj.GetText(TID_DIAG_0043) ) );CNetwork::GetInstance().OnEvent( LOGIN_CONNECT_FAIL );break;
}
CNetwork::GetInstance().OnEvent( LOGIN_CONNECTED );
并因此初始化g_dpLoginClient类以将数据包直接发送到该服务器。这意味着,如果我们设法在游戏中找到g_dpLoginClient指针,您将能够制作/编辑恶意数据包。
让我们看一下在数据包发送函数中如何使用g_dpLoginClient
void CDPLoginClient::SendCreatePlayer(BYTE nSlot, LPCSTR lpszPlayer, BYTE nFace, BYTE nCostume, BYTE nSkinSet, BYTE nHairMesh, DWORD dwHairColor, BYTE nSex, BYTE nJob, BYTE nHeadMesh, int nBankPW, BYTE bySelectPage )
{BEFORESENDSOLE( ar, PACKETTYPE_CREATE_PLAYER, DPID_UNKNOWN );ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );ar.WriteString( g_Neuz.m_szPassword );ar << nSlot;if( strlen( lpszPlayer ) > 16 )FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );ar.WriteString( lpszPlayer );if( strlen( lpszPlayer ) > 16 )FLERROR_LOG( PROGRAM_NAME, _T( "%s" ), lpszPlayer );ar << nFace << nCostume << nSkinSet << nHairMesh;ar << dwHairColor;ar << nSex << nJob << nHeadMesh;ar << nBankPW;ar << g_Neuz.m_dwAuthKey;ar << bySelectPage;SEND( ar, this, DPID_SERVERPLAYER );
}
我们可以看到,通过钩住函数并直接更改参数,或仅通过手工制作一个CAr缓冲区并调用该SEND函数将为我们自动完成所有加密/校验和工作,就可以轻松地操作数据包缓冲区。
这就是漏洞利用发挥作用的地方。我们有2个可以修改的字符串变量
- g_Neuz.m_szAccount[42]
- g_Neuz.m_szPassword[42]
现在,让我们跟踪数据包路径,直到LoginServer纠正它为止。
ON_MSG( PACKETTYPE_CREATE_PLAYER, OnCreatePlayer );
void CDPLoginSrvr::OnCreatePlayer( CAr & /*ar*/, DPID dpid, LPBYTE lpBuf, u_long uBufSize )
{if( g_tSlotActionFlag.bNotCreate == true ){SendError( ERROR_SLOT_DONOT_CREATE, dpid );FLINFO_LOG( PROGRAM_NAME, _T( "." ) );return;}LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus = g_DbManager.AllocRequest();g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );lpDbOverlappedPlus->dpid = dpid;lpDbOverlappedPlus->nQueryMode = CREATEPLAYER;PostQueuedCompletionStatus( g_DbManager.m_hIOCPGet, 1, NULL, &lpDbOverlappedPlus->Overlapped );
}
我们在这里发现了一些非常有趣的东西。深入研究该函数,我们发现它g_DbManager.MakeRequest( lpDbOverlappedPlus, lpBuf, uBufSize );无需进行任何安全性检查即可直接使用数据包缓冲区到DatabaseServer 。
让我们跟随数据包在DatabaseServer中的结束位置。
void CDbManager::CreatePlayer( CQuery *qry, LPDB_OVERLAPPED_PLUS lpDbOverlappedPlus )
{CAr arRead( lpDbOverlappedPlus->lpBuf, lpDbOverlappedPlus->uBufSize );arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szAccount, _countof( lpDbOverlappedPlus->AccountInfo.szAccount ) );arRead.ReadString( lpDbOverlappedPlus->AccountInfo.szPassword, _countof( lpDbOverlappedPlus->AccountInfo.szPassword ) );
该功能可以直接读取我们里面输入缓冲器szAccount,并szPassword与里面只有一个缓冲区溢出漏洞检查ReadString功能。
在此功能的最深处,我们仅找到有关szPlayer我们始终未触及的变量的检查
if( prj.IsInvalidName( lpDbOverlappedPlus->AccountInfo.szPlayer ) || prj.IsAllowedLetter( lpDbOverlappedPlus->AccountInfo.szPlayer ) == FALSE )
{return;
}
但这是最有趣的部分
char szQuery[QUERY_SIZE] = { 0,};
DBQryCharacter( szQuery, "I1", 0, g_appInfo.dwSys, lpDbOverlappedPlus->AccountInfo.szAccount, lpDbOverlappedPlus->AccountInfo.szPlayer, nSlot, dwWorldID, dwIndex, vPos.x, vPos.y, vPos.z, '\0', nSkinSet, nHairMesh,dwHairColor, nHeadMesh, nSex )
DatabaseServer使用szAccount我们可以直接从中操作的变量直接执行MsSQL查询,Neuz.exe而无需进行一次检查。
Pwn
让我们回到客户端
ar.WriteString( g_Neuz.m_bGPotatoAuth?g_Neuz.m_szGPotatoNo: g_Neuz.m_szAccount );
现在想象设置g_Neuz.m_szAccount为
;' DROP pwn_table;--
局限和缓解
我们无法执行庞大的查询,因为我们仅限于42个字符。
一个简单的解决方法就是使用SQLBindParameter,它似乎已经在游戏的最新版本中使用。
上一篇:java数据输入
下一篇:C语言文件操作(二)