御风神行是《天涯明月刀》里很常用的一个技能，可以用来在各大地图的传送点之间相互传送而不需要经过车夫，虽然冷却时间很长，但是非常实用。但是想去到某个传送点必须要先点亮这个传送点，也就是说要跑到传送点附近才可以。但是通过协议漏洞却可以达到无需点亮，传送到各个传送点。协议的明文很简单，只需要传递一个地图ID和一个传送点ID即可。那么我们就需要得到传送点的遍历，将名字于ID相互关联。

接下来我们分析下传送点遍历，这里有两种常见的突破口，第一种是通过传送CALL，分析参数来找到基地址，第二种是通过传送点名字来分析。

我们选择第二种，通过名字来分析，首先CE搜索UTF-8型的传送点名字，得到一个可以改变名字显示的地址（如图）

OD下访问断点，再次访问传送点游戏断下，通过几次返回，分析地址来源，我们发现这里有一些被VM的代码，所以要结合CE扫描去跳过VM代码（如图）

绕过VM之后就很容易找到基地址了（如图）

最终我们得到了公式如下

 [[[[基地址]+244]+c]+2c*n]+0 传送点ID2

 [[[[[基地址]+244]+c]+2c*n]+4 传送点地图ID

 [[[[[基地址]+244]+c]+2c*n]+c 传送点X坐标

 [[[[[基地址]+244]+c]+2c*n]+10 传送点Y坐标

 [[[[[基地址]+244]+c]+2c*n]+1C] 传送点名字

 [[[[[基地址]+248]+c]+74*n]+0 传送点ID1

 [[[[[基地址]+248]+c]+74*n]+4 传送点ID2

因为我们主要讨论的是漏洞部分，所以分析遍历的过程进行了一定的省略，了解方法即可。得到了传送点的名字，ID，所在的地图ID就可以通过御风神行来传送到任何一个想去的传送点。当然这里是否有检测，还需要经过大量的测试来得到结果。

来源：《任鸟飞逆向》

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课