变现 | 私服地下城数据库漏洞挖掘:从注入到权限提升的实战手册
私服地下城的数据库往往藏着GM道具代码、未公开副本坐标甚至玩家账号的明文密码。去年某个使用MySQL 5.7的仿官方服就因弱口令导致全服装备被篡改,这次我们直接切入技术层,用三个阶段的渗透测试还原完整攻击链。
【数据库指纹识别】
先用Nmap扫描目标服务器开放端口,重点锁定3306(MySQL)、1433(MSSQL)或5432(PostgreSQL)。某次实战发现私服管理员把MySQL端口改成63306,但通过`nmap -sV -p 1-65535`仍然识别出服务版本。确认数据库类型后,尝试用默认账号组合爆破:
- MySQL:root/空密码、admin/admin123
- MSSQL:sa/sa123
遇到防护时改用延时注入探测,比如在游戏邮件系统输入`' AND (SELECT 1 FROM (SELECT SLEEP(5))a)--`,若页面响应延迟则存在漏洞。
【联合查询突破字段限制】
在角色改名功能点测试注入,构造Payload获取表名:
`' UNION SELECT 1,table_name,3 FROM information_schema.tables WHERE table_schema=database()--`
最新版本的仿DNF私服常用表结构包括:
- t_characters(角色基础数据)
- t_items(物品库存,含强化数值字段)
- t_gm_commands(GM指令日志)
特别注意varchar字段长度限制,某次攻击因未指定`CONCAT(SUBSTRING(password,1,20))`导致数据截断。
【权限维持与数据篡改】
拿到管理员库密码后,用HeidiSQL连接并执行UPDATE语句批量刷道具。例如将全服玩家的+12强化券修改为+15:
```sql
UPDATE t_items SET enhance_level=15 WHERE item_id=54876 AND enhance_level=12
```
更隐蔽的做法是修改`t_gm_commands`表插入伪造指令,比如凌晨3点执行全服发送10000点券的定时任务。记得清理数据库日志表(general_log、slow_query_log)覆盖痕迹。
私服数据库通常缺乏WAF防护,但建议优先测试Web端的注入点而非直接爆破数据库。掌握SQLMAP的tamper脚本绕过技巧后,可以尝试对游戏商城的搜索功能进行自动化注入测试。
先用Nmap扫描目标服务器开放端口,重点锁定3306(MySQL)、1433(MSSQL)或5432(PostgreSQL)。某次实战发现私服管理员把MySQL端口改成63306,但通过`nmap -sV -p 1-65535`仍然识别出服务版本。确认数据库类型后,尝试用默认账号组合爆破:
- MySQL:root/空密码、admin/admin123
- MSSQL:sa/sa123
遇到防护时改用延时注入探测,比如在游戏邮件系统输入`' AND (SELECT 1 FROM (SELECT SLEEP(5))a)--`,若页面响应延迟则存在漏洞。
【联合查询突破字段限制】
在角色改名功能点测试注入,构造Payload获取表名:
`' UNION SELECT 1,table_name,3 FROM information_schema.tables WHERE table_schema=database()--`
最新版本的仿DNF私服常用表结构包括:
- t_characters(角色基础数据)
- t_items(物品库存,含强化数值字段)
- t_gm_commands(GM指令日志)
特别注意varchar字段长度限制,某次攻击因未指定`CONCAT(SUBSTRING(password,1,20))`导致数据截断。
【权限维持与数据篡改】
拿到管理员库密码后,用HeidiSQL连接并执行UPDATE语句批量刷道具。例如将全服玩家的+12强化券修改为+15:
```sql
UPDATE t_items SET enhance_level=15 WHERE item_id=54876 AND enhance_level=12
```
更隐蔽的做法是修改`t_gm_commands`表插入伪造指令,比如凌晨3点执行全服发送10000点券的定时任务。记得清理数据库日志表(general_log、slow_query_log)覆盖痕迹。
私服数据库通常缺乏WAF防护,但建议优先测试Web端的注入点而非直接爆破数据库。掌握SQLMAP的tamper脚本绕过技巧后,可以尝试对游戏商城的搜索功能进行自动化注入测试。