反编译挖掘吃鸡(绝地求生)辅助外挂的老窝

2018-01-08 512345人围观 ,发现 26 个不明物体 资讯

*本文原创作者:野狗,本文属FreeBuf原创奖励计划,未经许可禁止转载

绝对求生感觉最近一直很火,当然作为一个程序员来说我是不怎么喜欢玩游戏的,特别是这种烧配置的游戏。最关键还是没钱。绝对求生的各种辅助(外挂)遍地横生,也听说卖外挂月收入几万、几十万,也有很多人在问我要不要写个外挂然后卖赚点钱。

timg (5).jpg

对于这些我还是一口否决了(我就一个web开发的程序员不懂0day不懂游戏不懂cs开发叫我怎么写,在这堆不懂程序的人面前不能说自己不会,因为他们觉得程序员就是万能的)。

正题:

朋友在卖外挂(跟我没关系我没同流合污)虽然我不喜欢但是也不反感,他让我看看能不能写个外挂就给我发了一个外挂。

压缩包打开就exe一个,喵了两眼就知道是“易语言”写的,对于这种奇葩语言写的我还是十分的敬仰,直接拖到记事本打开,居然也没加壳。

QQ截图20180104132636.jpg

其实我想就用记事本就搞定的,但是想想还是装装逼用一些工具来展示一下真正的技术了。

工具:

1.Wireshark 抓包

2.Ollydbg 反编译工具

3.360安全卫士 …….(很多人都鄙视360但是我还是把他当工具使用)

运行程序把基础的功能都看了下,直接注册了个账户。

QQ截图20180104133137.jpg

这种界面感觉十个外挂有九个都是这样。

注册了无法登陆提示已到期(就是没充值)。

首先用第一个工具360安全卫士里面的网络管理工具。

QQ截图20180104133351.jpg

这样就可以拿到服务器IP了,几个功能都测试了,找到了三个IP地址。

有人肯定会问为什么不用命令查看非要用360这些工具查看,主要是我不喜欢装逼,我觉得过程不care最重要的是自己方便。

扫了服务器端口也就21,80,443,3389,3306,没啥意义;

现在开始来抓包看看数据,打开 Wireshark 选择网卡,为了简单方便直接先过滤了IP地址;

ip.addr == 外挂服务器IP。

先抓了登陆的数据,开始也就提交数据https请求,也看不到数据加密了的。

那么幸运即将到来,那么幸运即将到来,那么幸运即将到来!

QQ截图20180104134228.jpg

有个FTP,我确认了三次确认我没有看错,是的就是他的服务器就是他的FTP,账号密码都有。

果断连接测试,通过的,而且上传、下载、删除权限全有,里面都是一些授权的文件,应该是用户名+密码生成一个txt里面就是授权码之类的。

登陆成功就获取FTP密码,加密(用户名+密码).txt 的文件做验证,对于这种行为我只想给开发者点个赞,FTP账号密码写死在程序里,也不怕反编译,试试3389 ,侥幸心理。

administrator和FTP密码,直接进服务器了,这是有多随意,FTP密码随便写,服务器密码和FTP密码一样,感觉就是一个寻宝游戏一样,所有的宝藏都是留给善于发现的人的。

服务器里里外外翻了一遍,就一个服务器配置程序(宝塔),和一个服务器端程序(也是易语言写的)可是打开就一个输入框什么都没了,按钮都没有,他也没运行,其他也就没什么有价值的了,那么他的会员系统呢?? 

还是继续回去看客户端程序,Ollydbg打开导入外挂,翻了半天发现了很多新东西。

QQ截图20180104135437.jpg

访问了这个地址的主域名,是一个点卡代售平台,在平台大概了解了下。

平台提供会员数据接口、激活码、点卡、授权等等一系列的SDK,看来就是专门为外挂这种程序而生的。

写个外挂你只需要写核心的模块,那么剩下的会员功能授权系统等等的,都可以通过这个平台来实现。

QQ截图20180104135803.jpg

系统里面配置各种参数和添加卡这些的都有,确实超乎我的想象(贫穷限制了我的想象力)。

这下的话整个软件就差不多摸清了(其实FTP账号密码在Ollydbg也可以看到,但是很难注意到)。

要是改动外挂的话,测试了下把他程序的接口改成我的接口(因为用的那个平台的每个接口只是后面的字符串不一样,所以可以直接替换)。

QQ截图20180104140435.jpg

查找接口的域名然后找到对于的接口(为每个功能的接口不一样)。

QQ截图20180104140511.jpg

找到后进行二进制编辑,把他之前的字符串改成自己的,这里一定要注意千万不要改错了。

别把他登录的接口改成了你注册的接口,至于怎么区分很简单,把他所有接口的域名都本地劫持。

然后本地搭建个服务器挨个功能测试就是了,其实更简单的就是劫持了直接按照接口返回的数据模拟返回。

正常: 客户端请求正常接口,验证成功就返回200;

本地劫持:请求过来直接给他返回200。

这样也是可以的,因为我看接口平台官方文档介绍的,也测试了是可以的。

把外挂的接口字符串改成我的后测试了注册是可以的,但是对我来说这没啥意义,也就测试了,没时间挨个去检查接口挨个测试。

QQ截图20180104134031.jpg

剩下的就是看外挂功能,资源文件有几个文件,在Ollydbg打开的时候看到很多路径包括游戏路径这些。运行测试了下,就是在游戏资源目录里面释放资源文件(游戏的资源模块,像地图、音频包之类的)。感觉没太大的意义,也是一个很简单的外挂,其他功能也就没深挖了。

其实游戏就是娱乐,开心就好,希望广大的朋友仅是娱乐的话就不要把你的快乐建立在别人的痛苦之上。

*本文原创作者:野狗,本文属FreeBuf原创奖励计划,未经许可禁止转载

这些评论亮了

  • evil7 (5级) 入梦落樱满熏香,梦醒犹记四月谎 回复
    不知道为什么,看了评论莫名火,前来声援,替楼主挽尊。
    我觉得文章挺好的,为什么要喷?至少他分享出来了而你们呢。牛逼的来接锅继续写,继续拿原创奖金呗。
    个人经历写出来也要喷?信不信我下次写怎么用臂章小精灵翻盘超级兵的?
    一边怪分享的人少,一边喷写文章的人,这看了评论谁没脾气?
    喷子熊迪醒醒,按着文章的描述完全可以找到他机器的,这简直是“你们更懂发出来请大家轮”
    说日了机房放挖矿的熊迪?如果你找不到c段找不到机器,就承认真是菜就是了。
    仔细看看看截图,打了码就没信息了么?这明摆着是邀请你后手一起玩玩,你却菜到领会不出真谛。

    每255为一个段,长度再对比一下,有部分开头结尾,很明显了吧?百位不可能超过7,长度适中,最后结尾最多到十位。120.78.xx.7(x) 不明显么?

    大字写着“长城宽带”怕你菜给你再次降低难度了。扣子喷的那几秒,写个脚本扫一扫不行么。
    所有属于长城宽带的段符合以上IP规则的DMZ有以上端口的,顺便扫8888宝塔的默认面板,120.78.xx.7x 写脚本调用nmap扫一下不就是了?
    恕我直言,直接我直接telnet扫8888都找到了,机器IP现在还没换。

    看见域名露点没?e(y/g)*ata.net?这特么还不容易猜? eye? data? eyeata.net?eydata.net? 不就是个发卡平台eydata.net么?
    既然这么多通用密码,找找域名是不是花生壳反代的,登陆进DDNS平台,找找实名认证IP查一下用户,喷子口说无凭,真吊到爆你们也写段情报溯源来吊打这位作者啊?
    不是说他写得简单了还能拿原创奖金么?这密码长度FTP爆破一下再顺藤摸瓜,他端口举例写的这么明确了,你的留言却如此不接地气。
    趁热不是要挖矿么?到我github拿挖矿脚本,然后开始你的表演,写完整报告发我专栏我把你挖矿fee减到0。
    )220( 亮了
  • tsycc 回复
    扫了服务器端口也就21,80,443,3389,3306 没啥意义
    然后你就用这些端口
    ??!!
    写文章就写文章,扯那么多装x词汇干嘛
    )63( 亮了
  • 河蟹 回复
    换成是我 特么的机房都给他日了 顺便挖个矿什么的
    )22( 亮了
  • 你程序名字打码也就算了,嘴唇也打码,难道那里有啥不可见人
    )21( 亮了
  • 野狗 (2级) 吃饭睡觉写代码 回复
    @ tsycc 哥们确实在哪个阶段来说通过端口操作确实没有意义
    21 FTP 端口 就算爆破成功第一是花费时间 第二是就算拿到了权限也不能提权 更何况是阿里云服务器
    80 端口 web服务端口就不谈了
    443 ssl协议
    3389 远程端口 没后门 暴力破解 阿里云会拦截直接拉入黑名单
    3306 开了远程 但是所有账户都设置了本地访问
    后面只所以使用时因为我有权限访问
    前面说的所谓没有意义是指的 通过这些端口来进行入手没有意义
    小弟初来乍到 能力有限
    也多谢指点 毕竟我文化低 用词不当 言辞方面不能让大家满意
    )20( 亮了
发表评论

已有 26 条评论

取消
Loading...
css.php