某某消消乐增加步数漏洞分析

一、漏洞简介

1) 漏洞所属游戏名及基本介绍:某某消消乐,三消游戏,类似爱消除。

2) 漏洞对应游戏版本及平台:某某消消乐Android 1.22.22。

3) 漏洞功能:增加游戏步数。

4) 漏洞危害评级:红

二、漏洞实现介绍

1、漏洞实现使用工具

通过IDA工具动态调试游戏。

2、漏洞实现过程及实现原理

游戏中,主要通过游戏步数来限制玩家行动,该漏洞可实现无限步数功能。既是玩家不用担心步数问题,随意玩耍。

通过IDA静态分析,可看出消消乐使用Lua脚本进行游戏逻辑开发。由于Lua引擎是开源项目,直接分析该引擎代码可以知道Lua会通过lua_Reader函数读取脚本内容。因此,可直接在该点Dump Lua脚本代码。在获取游戏Lua脚本后,仔细阅读即可找到安全漏洞。再替换修改后的脚本回去即可实现相关漏洞重现。

本报告提到的增加游戏步数漏洞修改原理如下:

1、MoveMode:useMove(),用来响应玩家成功交换动物头像事件,处理统计数据及UI展示方面。因此,在该函数可找到点篡改步数数据,实现步数增加功能。

三、漏洞效果截图

相关推荐
越学不动啦8 小时前
四、Bug篇+用例篇
软件测试·测试用例·bug·软件工程·测试基础
有时间要学习8 小时前
Test——BUG篇
bug·测试
猫猫头有亿点炸2 天前
电脑连不上手机热点会出现的小bug
bug
不想加班的码小牛3 天前
第4期:重构软件测试体系——生成式AI如何让BUG无所遁形
人工智能·重构·bug·集成测试
limanjihe3 天前
PrimeTime生成.lib竟暗藏PG添加Bug
bug
Java手札5 天前
【bug】Cannot connect to already running IDE instance.SocketTimeoutException
ide·bug
妄想出头的工业炼药师5 天前
pcl 1.14.1 vs2022 Eigen::internal::aligned_free bug
bug
小海海不怕困难5 天前
xxljob阻塞处理策略设置为单机串行导致的bug
bug
Littlehero_1215 天前
关于bug总结记录
bug
深度Linux6 天前
告别代码Bug,GDB调试工具详解
linux内核·bug·内核调试