某SF游戏渗透

一、起因

不过多贴图了，讲一下渗透思路。

 

某SF游戏网站样子，下载安装，进行抓包。抓包工具很多，这里只是简单安装了个手机抓包工具进行抓包的。

二、思路

一般SF手游的都是属于一键部署端，这种一般分Linux跟Win俩中系统的，不过大部分都是Win操作系统的，而且大部分都是 PhpStudy的一键环境搭建，直接可以玩的。

这个手游也不例外。一般会存在一个后台GM界面。

三、成功渗透

 

 在通过抓包找到游戏客户端请求的地址之后，进行常规的检查，以及猜解，最后确定一处页面存在POST提交注入漏洞，最后通过工具 获取到权限为Administrator，

并且在常规操作中发现一处页面爆出绝对路径，直接写网马到该路径，远程连接上。

 

 

 

这是GM充值后台