某网游强行获取房主权限call的分析和实现

尘。

随便创建一个房间，等待其他玩家进入之后下WSASend断点，把房主转移给其他玩家


查看调用列表
调用堆栈：     主线程3@
地址       堆栈       函数过程 / 参数                       调用来自                      结构
0012EC38   00C25B75   WS2_32.WSASend                        KartRide.00C25B6F
0012EC3C   00000C10     Socket = 0xC10
0012EC40   0012EC60     pBuffers = 0012EC60
0012EC44   00000001     nBuffers = 0x1
0012EC48   0012EC6C     pBytesSent = 0012EC6C
0012EC4C   00000000     Flags = 0
0012EC50   0AE35030     pOverlApped = 0AE35030
0012EC54   00C25BF0     Callback = KartRide.00C25BF0
0012EC68   00C26538   KartRide.00C25B10                     KartRide.00C26533
0012ECC0   0097A898   KartRide.00C26280                     KartRide.0097A893
0012ECC4   12A7D540     Arg1 = 12A7D540
0012ECE4   00979BBA   ? KartRide.0097A7A0                   KartRide.00979BB5
0012ED18   00973662   KartRide.00979A50                     KartRide.0097365D             0012ED14
0012EEE4   009B5881   KartRide.00972F60                     KartRide.009B587C             0012EEE0
0012EF04   00C1D554   包含KartRide.009B5881                   KartRide.00C1D552             0012EF00
0012EF34   00C1D772   KartRide.00C1D320                     KartRide.00C1D76D
0012EF58   00B3EB78   KartRide.00C17F40                     KartRide.00B3EB73

前面两个函数你都会发现是和WSASend这个API有关的，那就不是我们要找的call
0097A7A0    55              push ebp
0097A7A1    8BEC            mov ebp,esp
0097A7A3    83EC 18         sub esp,0x18
0097A7A6    894D EC         mov dword ptr ss:[ebp-0x14],ecx
0097A7A9    8B45 08         mov eax,dword ptr ss:[ebp+0x8]
0097A7AC    8B4D EC         mov ecx,dword ptr ss:[ebp-0x14]
0097A7AF    8D8C81 84010000 lea ecx,dword ptr ds:[ecx+eax*4+0x184]   ; 同房间人物信息的读取
在这函数里面看到lea ecx,dword ptr ds:[ecx+eax*4+0x184]这就比较符合我们要找的东西了
往下看这个函数
0097A80D    6A 14           push 0x14
0097A80F    E8 985C1E00     call KartRide.00B604AC                   ; 申请0x14字节的内存
这里就是构造整个封包的代码的头部了
往上看发现有2个判断，应该就是判断是否允许发送这个报文的地方了，尝试把第一个判断修改成0097A7CC   /EB 3F           jmp short KartRide.0097A80D这样就等于把判断都过掉了，剩下的就是call的部分了
随便在函数内部找一个地方下断，转移房主
触发的时候ctrl+F9然后F8回到上层调用
00979BB1    52              push edx
00979BB2    8B4D DC         mov ecx,dword ptr ss:[ebp-0x24]
00979BB5    E8 E60B0000     call KartRide.0097A7A0
这里可以发现这个call就一个参数，断下来看看这个edx是什么一个形式的数据

EDX==1 而且我转移房主的玩家的位置就是1，我们可以猜测这个1就是玩家的位置



把代码改成如图然后去测试，发现不管你怎么转移房主获得房主的玩家的位置都是2号位那个了，那就说明猜测是对的
代码编写，首先这个call有一个ecx传址
断下来找ecx的来源，此时ecx== 140FEC98

Ce搜索 140FEC98 熟悉这个游戏的可以发现第一个基址就是指向人物信息的人物基址了


下面用易语言编写代码

游戏中就可以随意获取房主了，0是自己，1-7是房间中的其他7个网络玩家

揰掵佲