dnfsf辅助破解版 dnf公益服gm权限通用

摘要:朋友送我一套dnf台湾制服,让我和他一起玩。现在自建SF的太多了,但是大部分都是坑。想玩得开心,还是要收钱的(再来十万,你就变强了)当然,我等屌丝是不会收钱的,于是就有了下面

本文最后更新时间:  2023-03-25 22:45:33

摘要:朋友送我一套dnf台湾制服,让我和他一起玩。现在自建SF的太多了,但是大部分都是坑。想玩得开心,还是要收钱的(再来十万,你就变强了)

当然,我等屌丝是不会收钱的,于是就有了下面这个故事。

0x01信息收集

首先对他的注册页面和有页面的地方进行测试。扫描之后,发现什么都没有。

然后登录的时候抢包。我们捕捉到以下请求

GET /action.php?用户名= xx & amp密码= c 9 FAA 633110 ba 676152 FD 8535 CAC 1 bed &MAC _ MD5 = d 8 c 904 b 16 EC 49d 9 f 58054 ab 764 FDD 548 &type =登录HTTP/1.1

用户代理:Mozilla/4.0(兼容;MSIE 6.0Windows NT 5.0)

接受:*/*

主持人:xx.x.x:66

缓存控制:无缓存

发现url是可以爆炸的,这里的url爆炸方法也很简单。打开浏览器代理,burp开启拦截后,访问host+GET后面的内容。

然后你会抓住一个请求。发送给入侵者,然后设置两个变量,导入字典。

这里需要注意的是,由于登录时密码是自动加密成md5的,所以你在炸的时候要把密码字典批量加密成MD5。

成功登录的返回值

登录失败的返回值

单击主机ping数据包,我们得到服务器的IP地址为x.x.x.x

然后我们用scanport扫描端口。打开端口22、3306、111、849等。

0x02开始突破

端口22是SSH的端口。306是Mysql端口。就从这两个地方开始吧。

两个端口都打开爆破工具。用SSH Test404的爆破工具(有点慢)和Cookmysql工具爆破3306端口。

经过漫长的等待,我们发现3306被成功爆破。单击查看成功按钮,我们得到数据库密码123.321..123…

现在我们打开navicat软件,填写服务器IP地址,用户名和密码,然后保存。

然后双击左边新添加的服务器,直接进入数据库管理。

环顾四周,发现会员表中有1200多条会员记录……

看了半天,我看傻了。我不知道我的个人数据存储在哪里。

在这里,我当然不能放弃。我继续在百度上搜索一些信息。

知道这个SF基本都有GM工具,我们会继续搜索各种GM工具做进一步测试。

最后,下面的GM工具被成功地测试连接到数据库。

0x03修改账号数据

这里为了防止游戏服务器在登录注册时有IP记录,避免被社会化,我用代理重新注册了一个账号。(我之前玩的号IP是我自己真的)

在GM工具中输入我的账号,点击查询,找到我的角色,选中。

切换到邮件功能,给我发一些金币和武器作为测试。

重新进游戏,发现邮箱里面已经有金币过来了。O(∩_∩)O哈哈~重新进入游戏,发现邮箱里已经有金币了。O(∩_∩)O哈哈~

研究了一下,这个GM工具还能发商城道具和其他物品,具体就不演示了。经过研究,这个GM工具还可以在商城分发道具等物品,具体细节我就不演示了。

现在去找我朋友装逼。哈哈……

0x04 总结0x04摘要

因为对方对外开放了22口SSH 3306口MYSQL,我就炸了。

在日常使用中,可以限制3306端口和22端口的连接IP白名单,避免被爆。

如果没有设置白名单,帐户密码必须设置得尽可能复杂。设置密码时,可以通过各大社工库查看是否已经泄露。

注:SSH和3306爆破工具回复SSH获取下载链接

声明:工具来自网络,安全性未知。请在虚拟机下测试。由于该软件具有一定的攻击性,请不要用于非法目的,否则一切后果自负。

温馨提示:内容均由网友自行发布提供,仅用于学习交流,如有版权问题,请联系我们。