圖片簡字什麼的饒了我吧 鑲字什麼的姬妾做不到啊
一個雜耍演員的鬧劇——艦娘國服
說好來給大家講故事的。
這件事要從一個月前近兩個月的時候有個網友給我看了個奇葩的遊戲,就是今天的主角“艦娘國服”,所謂國服,其本質是私服。熟悉Flash的同學我想都很清楚,Flash的ActionScript作為一個指令碼語言,反編譯基本不會遇到任何問題。這個遊戲就是通過反編譯破解DMM的艦隊Collection遊戲後建立的一個私人伺服器。作為一個私服,無論在哪裡就是一個小眾低調的存在。我在網站逛了一圈之後也摸清了這個網站的基本性質,基本是一個個人作品。網站無論在登錄還是驗證碼系統都存在嚴重的漏洞,但是考慮到艦娘國服是一個小眾自娛自樂的東西也沒有多想。
當時發現的幾個漏洞現在我也可以來說說:
首先密碼明文上傳,通過抓包可以直接獲取到純文字密碼。網站是HTTP非加密傳輸的,再加上密碼不雜湊直接上傳基本屬於作死行為,任何一個在同一網路或傳輸的任何一個路徑都可以輕鬆獲取到使用者的帳號和密碼。
第二個漏洞是驗證碼的生成漏洞,驗證碼生成器只生成一組四位元數位,數位的字體、大小、形狀都、位置沒有變化,一個簡單的演算法就可以實現100%識別率的自動識別。
第三個漏洞是驗證碼的驗證漏洞,驗證碼由一個名字為athlon的Cookies控制,不受時間影響也不受使用次數影響。只要鎖住Cookies發送驗證碼,無限次發送都可以繞過驗證碼。至此驗證碼系統基本屬於沒有作用的狀態。
但是依然是沒有多想,因為如果是一小群人自己玩玩,安全沒做好也完全是可以理解的。
問題就發生在2015年1月14日。百度 艦隊Collection 貼吧原吧主突然集體消失,此後空降了一位名叫Athlon18的吧主。吧主上臺後大肆刪帖,並將貼吧作為自己所謂“國服”的宣傳。網傳(未證實)是斥資70萬人民幣購買下的吧主。有人曾洗地說,此吧主和艦娘國服沒有關係,我想這點是不可能的。我們來看一下這位吧主的ID,我們再來看看我一個月前找到的控制驗證碼的Cookies的變數名。顯然是將開發者名字作為變數名的做法(而且此做法非常不科學,基本可認為只是個人小作坊才幹得出的事)。並且該遊戲稱將於15日公測,至此整個事件的性質發生了變化,也是我決定插手的因素。
許多人可能支持在此事發生之後立刻採取DDoS的攻擊策略,這是我所反對的。因為DDoS的前提還是要認清對方伺服器的配置、數量和性能,不要打無畏的資源消耗戰。根據之前發現的驗證碼漏洞,我們可以通過批量發送驗證碼正確,但用戶名密碼錯誤的POST強制對伺服器的資料庫進行大量查詢工作,這樣的效率會高很多。
於是當晚發佈了 《艦娘國服資料庫壓力測試工具》 和使用方法。截止目前下載量已破萬,並且還有許多人盜鏈搞了鏡像站(不過我不怪你們)。為了安全起見,以免有人說我在程式中埋入後門程式,我將程式原始程式碼發佈至GitHub。截止至14日淩晨登錄伺服器已經出現不能訪問的狀況。
但是並沒有結束,當天下午有駭客通過猜測,發現/kancolle/admin為官網CMS的後臺,並且發現使用的是Duxcms1.1.0作為框架。一開始使用了預設使用者名和密碼admin/duxcms 登錄成功。這就是大家首先看到的登錄介面的標題被換的事情。
標題先後兩次被換,管理員登錄後修改了密碼並且關閉了直接修改/inc/資料夾的許可權以防止標題換。
第三次被攻破CMS是Duxcms漏洞和社工庫的幫助。Duxcms在登錄時的返回會提示是用戶名不存在還是密碼錯誤。所以在猜測後,發現了第二個可以登錄後臺的用戶名athlon,經過社工庫查詢密碼為qia**i(開發者真名的縮寫)。這是第三次被破解,但是由於/inc目錄被鎖,接下來就是大家看到的各種奇奇怪怪的公告的出現。
先後有六七次。但是再後來管理員更換了密碼,使後臺一度安全。
但是不久之後就被發現Duxcms 1.1.0版本存在SQL注入漏洞,使得可以不需要用戶名和密碼登錄。這時候事情就變得更複雜,出現了如下的公告,
這之後先後有多個駭客發現該漏洞導致網站公告欄一度陷入了混亂。之後管理員出現將整個網站的/admin目錄轉移使得網站直到第二天都比較安全。
但是SQL注入的出現使得剛剛的漏洞的暴露期間可能出現了其他許多問題。比如說洩露使用者資料。雖然官方曾出來洗地說資料沒有洩露,
但是事實上已經有駭客曬出了充值記錄圖(據稱是利用了Duxcms的漏洞,驗證過按照其說法確實可訪問):
還記得嗎,我一個多月前就發現過這個網站是明文上傳密碼的,就不能排除也是明文存儲的密碼。並且SQL被注入成功等事件的出現,使用者的用戶名密碼是否被洩露至今還是一個謎,但一旦被洩露,造成的影響是不可設想的我想這點大家從CSDN、7k7k等很多事件中都有了無數的瞭解。所以各位用戶還是保持好警惕,此事我也會跟進是否有庫流出。
第二天,網站在延後4小時後毅然開始了公測,隨著公測IP的外泄,基於新伺服器的DDoS開始了新的一輪,並由於多個其他駭客開發的更方便使用的幾個工具的出現(尤其是那個支援多執行緒的網頁版出現後),攻擊效率在此發生質變,網站此後再無法正常登錄。
並且網站被發現沒有ICP備案,一度顯示的ICP備案和公司不符,沒有文化許可證(之後網站顯示有了許可證,但是許可證屬於深圳一公司而非先前顯示的北京公司),整個網站就是一個非法網站。不知道各位有沒有辦過ICP備案。凡是要進行備案的網站必須是沒有在運營的網站。。。所以艦娘國服現在什麼都敢搞,為了文化許可證去搞了聯運(雖然不知道是不是也是假的)。但是ICP是辦不下來的,它就是非法網站,沒有第二個定義。網友也及時多次對該網站功能變數名稱向國家多個部門進行了舉報。最後不知道是DDoS的壓力還是有關部門的壓力,網站於當晚6點下線,經測試全球都無法正常訪問首頁了。
至此,此時發展到首個階段性勝利。
那麼我們來小結一下這件事吧,這件事究竟是個什麼樣的東西呢?就我個人的感覺,這就是一個雜耍演員的鬧劇。說是雜耍演員說的就是這位名字叫Athlon的程式師。據稱該程式師以前就寫過一些遊戲腳本,事實上也確實如此。對伺服器的安全意識極度薄弱,基本不會任何形式的優化,網站開發過程中代碼也是各種牽強和隨性。我記得第一次看完網站代碼時我就說,這代碼寫得和雜耍似的,這樣的程式師放之四海都不會寫出好程式。
更不可思議的是,如此一個弱智的產品更是敢於把自己推向風口浪尖,去空降一個貼吧吧主去(不知道背後到底有沒有70萬,甚至說背後有推手將他推向這個風口浪尖),引發眾怒後的後果是不可想像的。大家想一下,艦隊Collection的用戶日本伺服器對用戶限制就很麻煩,能很順利通過這些限制玩上這個遊戲大多也有些電腦水準。這些人中更有藏龍臥虎的大佬。整個事情從開始攻擊開始事情發展的命運就已經被決定了,一定是一邊倒的結果。
一個三流程式師編寫的三流伺服器被一群一流駭客攻擊從開始就不會有好下場。
不作死,就不會死。
創作內容
【純搬運】一個雜耍演員的鬧劇——艦娘國服by HECKPSI - 程式師DELTON
千年戦争アイギス(舊) (10)