狗屎一样的《腐败的王国》官网
搞这个《腐败的王国》官网,不是我闲得蛋疼找事做,而是它做得实在是太狗屎了。我几年前就注意到了,那设计,那代码,简直就像是从石器时代挖出来的。一看就知道是那种靠着老情怀,准备赚一波快钱就跑路的网站。你说这种网站我能忍吗?不能忍!
带着怒气的实践过程
我决定先去摸摸它的底,看看它到底有多“腐败”。
第一步:看表面,摸结构。
- 我先点开了那个注册界面,结果弹出来的验证码还是那种古老的四位纯数字,刷新速度慢得让人想睡觉。
- 我随便输了一串乱七八糟的密码,尝试注册,它竟然没有弹出“用户名或密码错误”这种正常的提示,而是直接报错说“数据库连接失败”。
小编温馨提醒:本站只提供游戏介绍,下载游戏请前往89游戏主站,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
兄弟们,一个正经的网站怎么可能直接把数据库的报错信息扔给用户看?这一下我就知道,这帮写代码的绝对是外包给刚毕业的实习生了,而且根本没人复查代码。接着我用抓包工具看了一下数据,果然,账号和密码的参数在传输过程中,连最基础的加密都没有做,直接就是明文传输。我当时就乐了,心想这真是个活化石。
不为别的,就为当年的那一口气
兄弟们可能会问,为啥我非要跟这个破网站过不去?
这就要说到我那个叫老王的发小了。那是零几年的时候,我们都还是半大小子,他偷偷拿了他爸妈的钱,在那个游戏里前前后后充了整整一万多块。结果?他装备刚凑齐,游戏里的GM(就是运营客服)直接把他号给封了,理由是“数据异常”。他打电话过去,那客服态度比大爷还横,说封就封,爱找谁找谁。申诉?门都没有。
老王当时气得把键盘都砸了,那可是一万块钱,够我们当时吃喝玩乐好久了。这笔钱对他来说,简直是天文数字。这件事在他心里成了一个永远的疙瘩,多年后说起来还咬牙切齿。我这回搞这个官网,就是想看看这个“腐败的王国”到底能腐败到什么程度。不为别的,就为给我兄弟出一口恶气,也算给他一个交代。
深入腹地与最终记录
带着这股子火气,我直接奔着它的管理后台去了。
第二步:深入腹地,找后门。
我试着在官网的URL后面多加了一个斜杠,然后随便敲了个“admin”上去,没想到直接就弹出了一个登录框!这登录框的背景图,竟然还是个默认的Windows XP主题,简直是复古得吓人。我用万能密码和弱口令试了两次都没进去,但是根据它返回的错误提示,我反推出它连接数据库的那个账号名。
- 更离谱的是,它用的数据库用户名竟然是“game\_user\_01”。
- 我抱着试一试的心态,把用户名倒着拼写当密码输了进去,结果竟然真的进去了!
我进去一看,密密麻麻全是用户的充值记录和明文密码,还有各种道具的交易流水,简直是触目惊心。我赶紧把这些关键的地方全部截了图,作为实践记录,但我没有动任何数据。毕竟咱们是文明人,只是记录和分享,不是搞破坏。
这个网站能靠着这么烂的技术栈和这么多的安全漏洞运行十几年不倒,真是个奇迹。它的腐败,早就渗透到代码的骨子里了。这回的实践记录,就是给所有还在玩这种老游戏的朋友们提个醒:有些王国,是真的腐败到家了,别再交智商税。