浅析国内某网络游戏的安全现况

作者:紫幻 [E.S.T顾问团] 来源:邪恶八进制信息安全团队（www.eviloctal.com）

注意：本文已经在《非安全 黑客手册》上发表 转载请注明作者，并保持文章的完整性。

《 浅析国内某网络游戏的安全现况》

首先在文章没有开始之前我要对支持和厚爱我的读者道歉，I am sorry !在我消失的这一年里我一直在玩国内一款十分火暴的网络游戏，该款游戏和此游戏的的代理商是目前中国网络游戏界的“大哥大”，通过一年的网游生涯也叫我体会到了游戏中的辛酸苦辣。但是游戏归游戏，我做为一个网络安全爱好者自然会为该公司和该游戏做免费的安全性检查哦：）根据我以前所学到的安全知识和这一年的游戏生活还真发现了该公司和该游戏很多安全方面的问题。由于篇幅的问题我只挑一些广大读者and玩家比较关心和一些重大的安全问题来讲。

在走过的2004年里：外挂，复制，木马，盗号，刷钱……这些关键词充斥着整个中国网络游戏市场里，由于游戏里的一些装备和游戏币可以卖RMB，使一些利益熏心的人打起了玩家和游戏的主意，随之而来的就是铺天盖地的各种木马，各种游戏作弊程序，各种非法外挂，搞的游戏玩家哭喊声一片。在我所接触的玩家里几乎一半以上因为中木马丢失过游戏ID和游戏道具，甚至有很多玩家丢失过N次。就在2004年底该网游公司终于推出了自称是政府银行加密级别的密保。以下是该公司对棋下的“王牌”产品XX密保的介绍：XX密保通过了国家公安部的测评，并取得了安全专用产品销售许可证。“XX密宝”采用先进技术，每分钟能够生成一个新的、且不能重复使用的密码，称之为“动态密码”。相对于您原来的游戏密码（我们又称之为"静态密码"），此动态密码以不怕“黑客”的网络窃听、不易猜测、不易破解而闻名。登陆游戏时，可与您原有的游戏密码同时输入以确保帐号安全。因此，使用了“XX密宝”，您就等于拥有了旁人难以猜测的、每分钟都变化的游戏密码！此技术已经应用于国防、金融、公安等领域，具有很高的安全性和使用方便性，能够为您提供一个更为安全的身份认证服务。该公司一推出此产品广大玩家是争先恐后的购买，据我所知一些地方居然卖断了货，看来玩家为保护自己的ID和游戏道具“不惜一切代价”。刚一开始的几个月在也没听说某某ID被盗的情况，但是好景不长最近在游戏里又听说玩家用了密保也丢号的事件。我的爱好就是网络安全当然要分析分析了。为了分析密保我也花了99大米买了1个。经过我N个不眠之夜的研究总结出密保以下的不安全因素。

经过我研究发现密保并不是所谓的动态密码，密保的主机每按1次会产生1个6位数的密码。假设我一共按了5次会产生5组6位数的密码，假设为以下5组。

123456

456789

147258

258369

654321

下面用我的ID配合这5组密保来登陆。首先输入我的ID，密码还有第一组密保123456登陆，结果成功。10分钟以后我在用我的ID，密码还有第2组密保456789登陆，结果使我大跌眼镜，居然也登陆成功。#!@#@$#%#%$汗。不是说每1分钟只有一个动态密保嘛，我都过了10分钟怎么还可以登陆？接下来又过了半个小时我又用我的ID，密码配合第5组密保654321来登陆，居然也登陆成功。看来XX密保有问题。接下来我又用我的ID，密码配合第4组密保258369登陆，提示动态密保错误登陆失败。通过以上的几组测试基本上可以下结论了。密保并不是每1分钟都有唯一的一个动态密码，只不过是一个密码存储器罢了。也就是说你预先拿你的密保按出100个密码无论什么时间按照顺序登陆都会被服务器认可，都可以登陆。但是中间不能跳位。比方说你先用了你密保第10次的密码登陆那么1-9次的密码都作废了，不能在登陆了。但是不会影响到11-100组的密码。只要按照顺序完全都可以登陆的。并且每1个密保密码只能用1次，登陆过的就作废。这样的密保看起来很安全，但事实并不是这样。假设一种新型木马，截获到玩家输入的ID，密码还有密保以后马上切断感染木马机器的网络连接（这句话的意思就是切断玩家和游戏服务器的网络连接，使这次密保并没有真的验证到游戏服务器），并同时把这次玩家输入的ID，密码，密保发送到放马人的手里。情况就可想而知，盗号者就会使用这次并没有验证到游戏服务器的密保登陆游戏。盗取ID和游戏装备。联想到前几天有玩家说有密保的情况还丢号估计就是这种办法或者说是大同小异。My GOD难道这就是X公司鼓吹的政府银行级别的安全措施？我真替中国的网游玩家感到悲哀。

以上所提到的是密保的安全问题，也是说游戏客户端的问题。当然玩家因为中木马丢号责任不完全在游戏公司身上，但是以下内容大家可要睁大眼睛了，该网游公司的服务器也存在很多安全隐患。首先我先为大家介绍一下该游戏公司的服务器分布情况。现在这款游戏已经有95个分区了。每一个分区里有4-6个不等的服务器，该公司为了能保证每个玩家都能顺畅的游戏把服务器按地域划分。我是北方人，所以为了游戏的时候网速快就选择了服务器在东北的7X区（具体那个区保密），首先登陆游戏，然后调出cmd执行netstat –an找出服务器的IP地址：

218.25.xxx.xxx找到了IP地址习惯用SuperScan扫描一下。结果如下：

* + 218.25.xxx.xxx

___ 7100

___ 7200

___ 7201

___ 7202

___ 7205

___ 7206

___ 7207

服务器开放了以上这些端口。看来服务器有防火墙，开放的端口也都是非常规的。初步看来安全性还不错。拿单服务器入手看来是不可能了，接下来我准备从内部网做渗透测试，扫描了该网段的整个C段：218.25.xxx.1-218.25.xxx.254

扫描到其中这个C段有1台服务器的web系统存在SQL injection,权限还是sa，汗……我就不介绍我是怎么拿下这台服务器的了。反正我是拿到了system权限，并且开了3389登陆了上去。马上在我已经渗透下的服务器执行ipconfig /all 结果如下：

Ethernet adapter 本地连接:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) 82544EI Based Network Conne

ction

Physical Address. . . . . . . . . : 00-XX-DB-XX-33-2A

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 218.25.XXX.183

Subnet Mask . . . . . . . . . . . : 255.255.255.192

Default Gateway . . . . . . . . . : 218.25.XXX.129

DNS Servers . . . . . . . . . . . : 202.96.64.68

接下来tracert一下。Tracert 218.25.xxx.xxx结果：

Tracing route to 218.25.xxx.xxx over a maximum of 30 hops

1   16 ms   15 ms   16 ms 218.25.xxx.xxx

从结果来看我已经渗透到了游戏服务器的内部网里面。接下来根据刚才扫描开放的端口我准备ARP嗅探一下。因为我写这个文章主要是讲游戏服务器的安全问题，并不是黑客教程，所以我就不介绍太多的初级知识，请读者在以前的文章里找。首先ARP一下7100端口，结果：

Get 218.25.xxx.xxx Hardware Address: 00-05-dd-27-6c-4a

Get 218.25.xxx.xxx Hardware Address: 00-c0-9f-27-b9-1b

Get 218.25.xxx.xxx Hardware Address: 00-0b-db-91-33-2a

Spoof 218.25.10.135: Mac of 218.25.xxx.xxx ===> Mac of 218.25.xxx.xxx

Spoof 218.25.10.129: Mac of 218.25.xxx.xxx ===> Mac of 218.25.xxx.xxx

Begin Sniffer.........

61.189.30.xxx(35701)->218.25.10.xxx(7100)

#6<<<<<BP<<<<<<<<<Vba]WrueYrQeGw>jpHNzyXGZdVOJh>xqGo@kH<!61.189.30.xxx(35701)->2

18.25.10.xxx(7100)

#6<<<<<BP<<<<<<<<<Vba]WrueYrQeGw>jpHNzyXGZdVOJh>xqGo@kH<!61.189.30.xxx(35701)->2

18.25.10.xxx(7100)

#7<<<<<BL<<<<<<<<<Vba]WrueYrQeGo\rH?HpIo@r!61.189.30.xxx(35701)->218.25.10.xxx(7

100)

#7<<<<<BL<<<<<<<<<Vba]WrueYrQeGo\rH?HpIo@r!202.110.202.xxx(56820)->218.25.10.xxx

(7100)

#1<<<<<BL<<<<<<<<<J?XrH_\oI^xsJ?\oI_<tI<!202.110.202.xxx(56820)->218.25.10.xxx(7

100)

#1<<<<<BL<<<<<<<<<J?XrH_\oI^xsJ?\oI_<tI<!218.25.173.xxx(1154)->218.25.10.xxx(7100)

#5<<<<<BL<<<<<<<<<WB]uSo<lJ>xrIOTnJO\tIL!218.25.173.xxx(1154)->218.25.10.xxx (7100)

#5<<<<<BL<<<<<<<<<WB]uSo<lJ>xrIOTnJO\tIL!202.110.202.xxx(56820)->218.25.10.xxx(7

100)

#2<<<<<BX<<<<<<<<<J?XrH_\oI^{J{IBfkVcFg<!202.110.202.xxx(56820)->218.25.10.xxx(7

100)

……以下结果省略N多。接下来我在嗅探其他端口发现可以嗅探到游戏里的游戏封包，和游戏服务器发送和接收的所有数据，这可是整个一个游戏服务器的数据包哦。我都可以偷窥到。到了这里我要说一下，现在有一种木马可以破译这些封包的内容，这种木马叫“网吧杀手”，这种木马的介绍是：、运行网吧杀手后，点击“开始”即可，在网吧有一人使用此软件，整个网吧所有传奇帐号都可以截取到。从介绍就可以看出这种木马可以嗅探到网吧内部的数据包分析出游戏登陆的ID，密码，分区信息，装备信息等等。那么假设我要是找作者稍微改动一下这个软件,然后放到我已经渗透到的游戏服务器内部网里呢？那岂不是整个一个区的上万玩家都要遭殃了？（我现在是可以嗅探到整个一个区所有的数据包）如果这些数据包落到了木马作者和外挂开发人士的手中……结果我们就不去猜想了，内部网服务器存在漏洞出现非法嗅探是绝对重大而且是致命的问题。我在游戏服务器内部网里能做的事情还有很多。比如我装上一个叫“网络执法官”的软件，我可以切断游戏服务器的网络，可以让全区所有的玩家全部掉线，我还可以详细嗅探每个端口找出服务器的管理端口嗅探user and password相信玩过ARP欺骗的朋友都知道。这些完全不在话下。声明一点，我只是抱着分析网络安全的态度，我并不是什么网络大盗，所以在这里给该公司提个醒多注意网络安全防范。我所提到的这台服务器只是400多组服务器里的冰山一角，在这个段还有好几台该公司的游戏服务器。我测试和分析的目的已经达到了我就不一一渗透了。

以上我提到的是该网游公司一些安全隐患和不足的地方，下面我根据以上提到的东西给一些相应解决的办法。

广大玩家防范木马问题还是那么几点：

1 一定要安装杀毒软件，要选择那些效率高的。最主要的是要定期更新杀毒软件的补丁。

2 有很多病毒，蠕虫都是根据windows的系统漏洞进行传播的，一定要定期去windows up data更新微软最新的安全补丁。这样才能保证系统的安全。

3 不要下载一些来路不明的软件和外挂，这些外挂和软件很多都是捆绑有木马的，还有就是不要去一些陌生的网站，我分析中木马的机器很大1部分都是去一些被挂木马的网站才导致中木马丢号的。

4 给密保生产商提点小建议，希望不要玩文字游戏，真的生产出每1分钟只有唯一密码的密保，保护广大玩家的利益，这也是你们的责任！

我所提到服务器安全问题的解决办法是：

1 最主要的就是保证内部网所有服务器的安全，黑客发动攻击只要找到一点点小的漏洞就会攻陷整个网络的。这不是危言耸听，有很多案例的。

2     如果有条件的话最好用路由器来划拨网段，把游戏服务器都分配到1个网段一个路由器内。这样黑客就不能跨网段实行嗅探了。

本篇就到这里，希望本篇里提到的公司赶快行动起来，还给广大玩家一个清净和安全的游戏氛围。也希望一些别有用心的人看到本篇不要用来搞破坏。对本篇内容如果有什么异议请和我取得联系mail:zihuan@16168.cn BY 紫幻 7X区的一名41级的小战士：）

我的QQ：1108748

Mail: zihuan@16168.cn