モバイルオンラインゲームをハッキングしますか？ 簡単！

こんにちは、Habr！ 本日は、誰か他の人のAndroidアプリケーション（この場合はオンラインゲーム）のジャングルに突入することを突然決めた場合に遭遇する可能性のあることについて説明します。 .dexでJavaクラスを表示したり、Dalvikオペコードを学習したり、バイナリプログラミングを学んだりするアドベンチャー。 しかし、まず最初に。



カットの下で〜800kbのトラフィック、293はコードのスクリーンショットです（！）



この記事は情報提供のみを目的としています。 著者は、記事を読んだユーザーのいかなる行動に対しても責任を負いません。 記事内の一致はランダムです。



一度、雨の夏の夜に、私のガールフレンドと私は自分自身と関係がある何かを探していました。 私は映画を見たくありませんでしたが、私もベッドから出たくありませんでした。 選択肢は、モバイル玩具に落ちました。 ゲームの基本的な要件はそれほど多くありませんでした。

• iOSおよびAndroidをサポートする必要があります。
• 両方のプラットフォームに単一のサーバーが必要です。
• 一緒にプレイすることが理にかなっているように、共同ゲームがなければなりません。

そこで、Google Playトップからゲームを見つけました。 名前を明かさないために、それをゲームNと呼びましょう。後で判明したように、上記のリストの3番目の項目は、ほとんど何も実装されていません。



以下に、ネタバレの下でゲームの短い説明を隠しました。それを読む必要はありませんが、絵を完成させることは有用です。







私はリモートプログラマなので、自宅で仕事をしています。 自宅では、常に良いwi-fiがあります。ゲームがサーバーとどのようにいつやり取りするかについて、私は本当に考えませんでした。



私がモバイルインターネットからゲームに参加することにしたまで。 次のダンジョンのすべてのレベルを実行すると、「ネットワーク接続が遅れています。 バトル結果を再送信しますか？ （戦闘結果が送信されない場合、戦闘は損失としてカウントされます。） 「はい」ボタンをクリックした後、結果はまだサーバーに送られました。



ゲームの説明を読むと、多くの場所に落ちました：なぜ通常のPvPやゲームが一緒に存在しないのか-ゲームがサーバーと通信することはめったにありません。ほとんどの場合、HTTP経由でソケットはありません。 そして最も重要なこと-明らかに、このゲームでは、 クライアントは戦闘の結果を計算し、サーバーはそれらを受信するだけです。



ゲームのさまざまな時点でインターネットの切断をすぐに試したところ、次のことがわかりました。

• 場所を入力すると、サーバーにリクエストを送信します。 合格し、回答が得られると、その場所へのダウンロードが開始されます。
• サーバーは、ロケーションのレベル間の移動を制御しません。
• Mobの最終パックを殺すと、別のリクエストが送信されます。 あなたの戦利品はそれに応じて来ます。
• 戦闘の結果を送信できるが、答えが得られない場合-「ネットワーク接続が遅延しています...」という同じメッセージが表示されます。 ただし、もう一度やり直そうとすると（要求と応答が渡されます）、「一致するデータが見つかりません」というメッセージが表示されます。 これは、その場所にロードすると、戦闘の応答IDを送信し、ダンジョンの終わりに結果を送信するために使用されることを示唆しています。
• 説明で述べたように、モブから青い結晶だけが落ちるわけではありません。 かなり頻繁に、エネルギーが低下し、時折赤い結晶が発生し、暴徒の殺害中に何がどの程度落ちたかがわかります。 そして、ここで考えが浮かびます：クライアントは、どれだけ、何が落ちるかを決定し、それをサーバーに送信しますか？ その場合、「正しい」リクエストを送信することで、ダンジョンを「勝つ」ことができますが、これは私たちにとって非常に難しいだけでなく、そこから数百の赤い結晶とエネルギーを取ります。
• これらすべてにより、ダンジョンをチームがさらに通過することを恐れることはできません。 ウォークスルー（いずれかの方法）を完了すると、「一致データが見つかりません」というメッセージが表示されます。結果は既に送信されています。

アイデア1.リクエストを偽造する

上記のアイデアの後に来るかもしれない最も論理的なアイデア。

リクエストを偽造するには、オリジナルが必要です。 トラフィックを監視するための多くのオプションがありますが、私は自分で最も簡単なものを選択しました。ラップトップを介してトラフィックを送信し、WireSharkを使用してすべてを確認します。



コンピューターをアクセスポイントに変更する手順については、 こちらを参照してください 。

ログの不要な「ノイズ」を減らすには、すべてのアプリケーションを閉じて同期をオフにします。

ロード中に、ゲームはFacebookからプロモーション、パートナー、および友人に関する情報をロードします。一般に、トラフィックは多く、異なるサーバーに送信されるため、興味はありません。 場所に行きます：









一見すると、これがBase64であることは明らかです。 しかし、最初に取得したデコーダーにテキストを挿入すると、完全なナンセンスが得られましたが、JSONを期待していました（冗談です、単純すぎます-アプリケーションには10kk以上のダウンロードがあります）。

もっと深くする必要がある©

APKゲームをダウンロードします（多くのオプションがあり、これを利用しました ）。 APKファイルは通常のZIPアーカイブであり、多くのものが含まれていますが、まずは、classes.dexファイルに興味があります。 これはDalvik実行可能形式です。 基本的に、コンパイルされたJavaクラス。 それらを開くには、 dex2jarとjd-guiが必要です 。 最初はdexをjarに変換し、2番目はjarからソースコードを復元しようとします。

jd-guiを復元するものは非常に恐ろしく、読み取り専用に見えます。 コンパイルしないでください。 jd-guiのソースを保存して、お気に入りのエディターで開くことができます。 JetBrainsから30日間のIDEAトライアルをダウンロードしました。製品の検索方法がとても気に入っているからです（PyCharmを使用しており、PHPStormは自分で購入しました）。



このエディターを好む人への警告-SDKを設定しないでください。エラーで失敗します。



Androidのプログラミングから、基本だけを知っていたので、検索を開始する場所がわかりませんでした。 そこで、プロジェクトで「base64」の検索を実行し、Base64デコードおよびエンコードを実装するクラスを見つけました。 これらのメソッドは、ライブラリーメソッドの単なるラッパーではなく、コードから判断して、Base64エンコードおよびデコードを実際に実装したため、これには非常に驚きました。



私に最初に思い付いたのは、クリエイターがBase64に似た独自の何かを書いたが、エンコード方法が異なることです。 コードはひどいように見えるので（1000行を超えるメソッド、gotoのメソッド、復帰直後のメソッドの指示、その他の人生の喜び）、私はこれを書き換えることができませんでした。 その後、サーバーがPHPで作成されていることを思い出し、絶望しないことに決めました。2つの異なるプラットフォームで2つのbase64ネイティブ実装を開発するのは非常に高価だったからです。 少し後に、JavaでBase64をグーグルで検索し、標準Javaライブラリ（バージョン6および7）にbase64エンコードがないことに気付きました。これにより、代替の実装に対する不安がようやくなくなりました。



このクラスの使用を検索した後、別のStringEncrypterに行きました。StringEncrypterはいくつかのメソッドを実装していますが、主要なメソッドは復号化と暗号化です。 復号化方法をすばやく見ると、これが私が必要とするものであることがわかりました。 データはbase64から復号化され、AES / CBC / PKCS7Paddingを実行して返されました。 Cipherに使用されたキーと初期ベクトル（初期化ベクトル）を見つけるために残っただけです。



これを行うために、私はこれらの方法の使用を探し始めました。 また、StringEncrypterクラスはどこでも使用されていないことがわかりました。 びっくりしましたが、jd-guiの欠陥だと思いました。



プロジェクトの検索を再開しましたが、今回はすぐにCipherを探しました。 多くの結果があり、それらをさまよって、明らかにソースコードが復元できないファイルに出会いました。 コードの代わりに「内部エラー」がハングしました。 プロジェクトでこれと同じ「内部エラー」の検索を開始すると、55件の結果が得られました。 一部のクラスの使用が見つからない理由が明らかになりました。 これらのファイルの中に、ActiveUserNetworkという興味深い名前のファイルがありました。

もっと深くする必要がある©

私は次のことを推測しました-唯一のアセンブラー。 そしてそれが起こった。



Dalvik VMには多くのオペコードがあり、実際、smaliコードは読みやすい、特にアセンブラーで選択する場合は読みやすいです。



今回はsmaliとbaksmaliが必要です 。 Backsmaliは、フォルダーとファイルの階層と名前を保持しながら、classes.dexファイルをソースフォルダーに変換します。 最初は、同じjavaファイルを開くとsmaliコードを理解するのがはるかに簡単になります（もちろん、jd-guiがそれを逆コンパイルできなかった場合を除きます）。 インターネットには、コード例が見つかる十分なリソースがあります。たとえば、 ここでは、smaliの配列がどのように見えるか、/ switchの手順を示しています。



しかし、私たちのゲーム、特に私に興味のあるActiveUserNetworkファイルに戻ります。 すべてがここで見つかりました-暗号化、暗号化および復号化メソッド、Base64（ところで、ここではandroid.utilsライブラリから使用されました）、さらには定数 "http：//***.com/gateway.php"も見つかりました。 はい、これは/api/gateway.phpではなく、少なくとも何かです。 ちなみに、「api / gateway.php」の検索ではsmaliコードでも何も得られませんでしたが、StringBuilderが頻繁に使用されることがわかったので、私は本当に怒っていませんでした。

ハブにはsmaliコードのハイライト表示はありません（率直に言って、存在する場所はあまりありません）。このコードの大部分をスクリーンショットと共にアップロードします。



decrypt



方法：







コードの説明：最初の行には、メソッドの標準的な説明（受け入れられるものと戻るもの）が含まれています。 このメソッドは、文字列とバイト配列の2つのパラメーターを取ります（ここでは[B）のように見えます）。 バイト配列を返します。

.localsディレクティブは、メソッドが使用するレジスタの数を示し、パラメーターはカウントしません。 このディレクティブに加えて、 .registersと呼ばれる同様のディレクティブがあります。これは、メソッドパラメータを含む、メソッドで使用されるレジスタの数を決定します。 つまり 一般的に、.registers = .locals + params。 同時に、.registersディレクティブを使用してレジスタの数を宣言すると、メソッドパラメータは最後のレジスタに分類されます。 レジスタへのアクセスは、v0、v1、v2などを介して、パラメーターp0、p1などにアクセスします。

このメソッドは静的であり、オブジェクトなしで呼び出されます。そうでない場合は、3つのパラメーターがあり、最初のパラメーターは（this）メソッドが呼び出されるオブジェクトになります。 次の2つのディレクティブが欠落している可能性があります;これらはパラメーター名です。 .annotaionsディレクティブは、メソッドに関する追加情報、この場合はスローされた例外を宣言します。 .prologueディレクティブは、メソッドの本体がさらに進むことを示しています。

これらすべてを考慮すると、最初の11行はJavaコードの1行に変換されます。

 public static byte[] decrypt(String key, byte[] data) throws Exception {
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オペコードテーブルを見て、オブジェクト自体が常にinvoke-staticの場合とは異なり、invoke-virtualの最初のパラメーターとして渡されることを思い出して、Javaで逐語的にメソッドを書き換えます。

 public static byte[] decrypt(String key, byte[] data) throws Exception { String v1 = "AES/CBC/PKCS7Padding"; Cipher cipher; cipher = Cipher.getInstance(v1); int v1_1 = 2; SecretKeySpec v2 = createSecretKey(key); AlgorithmParameterSpec v3 = spec; cipher.init(v1_1, v2, v3); byte[] v1_2 = cipher.doFinal(data); return v1_2; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、 spec



はActiveUserNetworkクラスの静的変数であり、クラスコンストラクターで初期化されます

 .line 78 new-instance v0, Ljavax/crypto/spec/IvParameterSpec; const/16 v1, 0x10 new-array v1, v1, [B invoke-direct {v0, v1}, Ljavax/crypto/spec/IvParameterSpec;-><init>([B)V sput-object v0, Lcom/com2us/module/activeuser/ActiveUserNetwork;->spec:Ljava/security/spec/AlgorithmParameterSpec;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコンストラクターコードをgetSpec



メソッドに置き換えました。 decrypt



メソッドを通常の形式にします。

 public static byte[] decrypt(String key, byte[] data) throws Exception { String alg = "AES/CBC/PKCS7Padding"; Cipher cipher = Cipher.getInstance(alg); SecretKeySpec secretKeySpec = createSecretKey(key); cipher.init(2, secretKeySpec, getSpec()); return cipher.doFinal(data); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そのため、 createSecretKey



とgetSpec



メソッドの処理はgetSpec



ます。

 public static AlgorithmParameterSpec getSpec() { byte[] v1 = new byte[16]; return new IvParameterSpec(v1); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、コンストラクターから変換されたコードです。 それはすでに夜であり、私の脳は0x10という数字を10進法に変換して「10」としていた。 計算機でダブルチェックすることにしたのは良いことです。そうしないと、私は完全に失望します:)



createSecretKey



メソッド（ここで、ちなみにタイトルの誤字、修正します）







メソッドは非常にシンプルで、次のように変換されます

 public static SecretKeySpec createSecretKey(String key) { return new SecretKeySpec(key.getBytes(), "AES"); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さて、キーとデータと共にメソッドに渡されるものを見つけることだけが残っています。

processNetworkTask



メソッドがprocessNetworkTask



担当します。 processNetworkTask



メソッドは、要求を（暗号化とBase64エンコードを使用して）同時に送信し、応答を受信します。 このメソッドは大量（1k行） v18



、対象の部分のアセンブリのみを投稿します（ v18



はorg.apache.http.HttpResponse



クラスのオブジェクトorg.apache.http.HttpResponse



）







要するに：

REQ-TIMESTAMP



ヘッダー値が取得され、 createHash("MD5", header_value)



メソッドがcreateHash("MD5", header_value)



。 返された文字列から、最初の文字から16番目の文字までの部分文字列を取得し、この部分文字列をキーとともにdecrypt



メソッドに渡します。 Base64.decode()



からのバイト配列は、データによって転送されます。



そのため、 createHash



メソッドを除くすべてのものが手元にあります。

smaliコード：







この方法はすでに認識しにくいものです。サイクル、例外、および条件があります。 そして、暗号化方法に間違いを犯すことは不可能です。 この1つの設計には価値があります。

 const/4 v7, 0x1 new-array v7, v7, [Ljava/lang/Object; const/4 v8, 0x0 aget-byte v9, v3, v1 invoke-static {v9}, Ljava/lang/Byte;->valueOf(B)Ljava/lang/Byte; move-result-object v9 aput-object v9, v7, v8
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、それはByte v9 = mdByte[i];





ヒント：ほとんどの場合、 goto



前に増分（ add-int/lit8 v1, v1, 0x1



）が表示される場合、それはforループです。 最終的なJavaコード：

 public static String createHash(String algorithm, byte[] data) { try { MessageDigest md = MessageDigest.getInstance("MD5"); md.update(data); byte[] mdByte = md.digest(); String mdString = ""; int i = 0; int len = mdByte.length; for (i = 0; i < len; i++) { StringBuilder v5 = new StringBuilder(mdString); String v6 = "%02x"; Byte v9 = mdByte[i]; v6 = String.format(v6, v9); v5.append(v6); mdString = v5.toString(); } return mdString; } catch (NoSuchAlgorithmException e) { return ""; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてをまとめる。 新しいアプリケーションを作成し、MainActivityにすべてをドロップしました。

 public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); String b64 = ""; // Base64 request body String req_ts = ""; // REQ-TIMESTAMP header byte[] decodeBase64Byte = Base64.decode(b64, 4); String hash = createHash("MD5", req_ts.getBytes()); hash = hash.substring(0, 16); try { Log.d("MYAPP", "Decrypted: " + new String(decrypt(hash, decodeBase64Byte))); } catch (Exception e) { Log.d("MYAPP", e.getClass() + "-" + e.getMessage()); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

では、私たち全員がこれを行う理由に戻りましょう。 注意深い読者は、上記の応答または要求のいずれにもREQ-TIMESTAMPヘッダーがないことに気付いたかもしれません。 ただし、要求は/ api / gatewayではなく/ gatewayに送信されます。 /ゲートウェイへのリクエストは、アプリケーションの初期化中に送信されます。 それらをデコードするのは2つだけです。 いいえ、デバイス、MACアドレス、タブレットがわだちが付いているかどうかに関するデータもありました。 しかし、私は価値がありませんでした。 / api / gatewayへのリクエストはどこかから来たもので、/ gatewayに関連付けられていません。



私はsmaliコードを扱っていましたが、すべてのメソッドを処理してJavaで書き直すという決定に至る前に、さまざまな方向でさらにいくつかの試みを行いました。



試行1：キーがどのように生成されるかを探すのではなく、単にサーバーにリクエストを送信します。 smaliコードは変更してコンパイルし直すことができるため、アイデアはシンプルでした。decryptメソッドの前に、サーバーにリクエストを行い、キーをGETパラメーターとして渡してから、Webサーバーのログを確認します。

smaliコードをコンパイルする方法を探して、apktoolを見つけました 。 このツールは、apkファイルをすぐに解析してsmaliコードにし、すべて収集してapkに戻すことができます。

 ./apktool decode ~/Downloads/***.apk ~/Documents/out/ ./apktool build ~/Documents/out/ ~/Downloads/***.new.apk
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ただし、新しいアプリケーションをインストールしようとすると、エラーが発生します。

 ./adb install -r ~/Downloads/***.new.apk Failure [INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATE]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

stackoverflowでは、アプリケーションを手動で削除してから再度インストールすることを勧めていますが、それでも私を救うことはできませんでした。 新しいキーを作成します。これには、keytoolとjarsigner（openjdkパッケージに含まれています）が必要です

 keytool -genkey -keystore ~/debug.keystore -validity 10000 -alias debug jarsigner -keystore ~/debug.keystore -verbose ~/Downloads/***.new.apk debug
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

重要な注意-jarsignerの動作はjdkのバージョン6と7では異なり、バージョン7ではチームはエイリアスを誓います。 この問題の解決策が見つからず、追加の6バージョンをインストールしました。



その後、アプリケーションのインストールは成功します。 しかし、残念なことに、アプリケーションは（変更しなくても、単にdecompile-compile-subscribe-install）すぐにクラッシュしました。 サーバーは何らかの形で署名をチェックすると思いますが、コメントの誰かが明らかにしてくれれば嬉しいです。 この考えは放棄されなければなりませんでした。



試み2：smaliコードをいじりたいという欲求がない場合（しかし、私はそれを持っていなかったので、それは5時間のタスクだと思った）、それはより簡単です。 アプリケーションで、コピーするものと同じインターフェースで空のメソッドを作成し、apkを作成し、逆コンパイルし、メソッドの本体をコピーして、組み立て直します。 そのような反復はそれぞれ非常に時間がかかります。 したがって、オペコードを調査する方が速くなります。 組み立てられたアプリケーションのソースコードを開くことができないことは明らかです。



この記事は1日で書かれたものではなく、上記の段落の1週間後にこの発言を書きます。 インターフェイスを記述し、メソッドの本体にsmaliコードをコピーする方法は、キー生成メソッドのソースコードを復元できなかったときに非常に役立ちました。 人生を簡素化し、反復時間を短縮するために、すべてを1つのチームにまとめることができます

 apktool build ~/myapp/ ~/myapp.apk && jarsigner -keystore ~/debug.keystore -verbose ~/myapp.apk debug && adb install -r ~/myapp.apk && adb shell am start -n "com.example.myapp/com.example.myapp.MyActivity" -a android.intent.action.MAIN -c android.intent.category.LAUNCHER && adb shell logcat MYAPP:D *:S
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アイデア2.私たちはスーパーモンスターを作ります。

さて、リクエストでうまくいかない場合は、逆に進みます。

新しいモンスターは、Googleプレイの更新ではなく、ゲーム内の更新を通じてゲームに読み込まれます。 これは、それらがapkの外部のどこかに保存されていることを意味し、理論的には変更できます。

長い間フォルダを検索する必要はありませんでした-/sdcard/Android/data/com.***/files/patch/

ここで、すべてのスプライトとサウンドが見つかりました。最も重要なのは、モンスターの名前と拡張子.datを持つ多くのファイルです。 16進エディターで開き、すぐに調べます-目を引くヘッダーや行はありません。 遭遇した最初のレベル1のモンスターを取り、そのHPを見て、ファイルが暗号化されていないことを期待して、これらのバイトの検索/置換を開始しました。 7件一致しました。 それらを順番に交換すると、4つのゲームクラッシュと3つの「何も変わっていない」が発生しました。 暗号化されています。

しかし、何かを解読する必要があります！ 正規表現コード「\ .dat \ b」を検索しています（結果で「data」で始まるメソッドを除外するため）。 CommonData.datファイルのみが見つかりました。 このファイルは/data/data/com.***/フォルダーに隠されています（/ dataフォルダーに空のフォルダーがある場合は、rootアクセスが必要です）。

ファイルは暗号化されており、サイズは1kbです。 そこに価値のあるものは何もないことは明らかですが、暗号化アルゴリズムは同じかもしれません。 今回はコードをアップロードせず、約1000行かかります。 最も重要なのは、ANDROID_IDに基づくキーが復号化キーに渡されることです。 ファイルを開いた後、MACアドレスが（再び）見つかりました。 モンスターファイルで同じアルゴリズムをテストしたところ、エラーが発生しました。

悲しみは切望しています。

こんにちはアセンブラー！

しかし、同じ/data/data/com.***/lib/フォルダーで、.soライブラリに出会いました。 私はすでにapkでそれらを見て、MainActivityでそれらの接続を見ました（正直なところ、私はそれらを選ぶ必要がないことをこの間ずっと本当に望みました）。 libgame.so、libcom ***という2つのライブラリがありました。 2番目のものの重量は非常に小さく、価値がありませんでした。 最初に16進エディタで開き、30分後に「http：//***.com/gateway/api.php」という行を見つけました。

もっと深くする必要がある©

あなたが疲れていないことを願っています:)私たちは最初からほとんど始めているからです。

率直に言って、この段階で私は約20〜30時間を費やしました。 プロセッサのオペコード、レジスタ、およびメモリに慣れていない場合は、長い間ここにいることもあります。 私は、人がそこにあるどのアプリケーションよりもかっこいいことを証明したいという粘り強さと願望によってのみ救われました。

ツールとテクニックの選択に多くの時間が費やされました。 そして、残りの記事が将来数時間で誰かを救うなら、これは素晴らしいことです。



ツールキット。

Ida Pro 6.1+はメインのデバッグツールです。 バージョン6.1以降、android_serverファイルと、Androidアプリケーションをリモートでデバッグする機能が完全に付属しています。

gdbserverは、リモートデバッグ用の別のツールです。

この時点で、デバイスへのルートアクセスが必要です。



両方のサーバーをデバイスにダウンロードします。

 adb push gdbserver /data/local/tmp adb push android_server /data/local/tmp
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ローカルホストへのポート転送を構成します。

 adb forward tcp:5039 tcp:5039 adb forward tcp:23945 tcp:23945
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

必要な権利を公開します。

 adb shell su chmod 755 /data/local/tmp/gdbserver chmod 755 /data/local/tmp/android_server
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

主なアイデア（ このトピックのおかげで、時間を大幅に節約できました）：

1. android_serverを介して接続し、ライブラリを見つけ、オフセットを覚えてください。
2. 指定されたオフセットでライブラリをIdaにロードします。
3. Idaは分析し、関数名を公開し、スケジュールを呼び出し、さらにソースコードの再現を試みます。
4. デバイスでアプリケーションを実行します。
5. 既に分析されたライブラリをgdbserver経由でアプリケーションにロードします
6. ブレークポイントを設定し、分析します。 アプリケーションがクラッシュした場合goto 4
   
   
   
   。

2つのサーバーがリモートデバッグに使用されるのはなぜですか？ android_serverは美しくロードされたライブラリを表示でき、目的のライブラリのオフセットは非常に高速です。 ただし、ブレークポイントは機能しません。 ただし、gdbでは正常に機能します。 info sharedlibrary



を使用してgdbクライアントからinfo sharedlibrary



を探すこともできるようですが、それはうまくいきませんでした。







別の重要なポイント：

アプリケーションがクラッシュした場合、（何らかの確率で）最初からすべての手順を実行する必要があります。 ASLRテクノロジーがすべてです。 無効にするには、シェルで実行します：

 echo 0 > /proc/sys/kernel/randomize_va_space
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

注意！ これは、デバイスのセキュリティに大きく影響します。 このパラメーターの値を覚えて、実験後にその場所に戻すことを忘れないでください。



したがって、より詳細な行動計画：

1. android_serverを実行します。
   
   
   
   

    adb shell su /data/local/tmp/andoid_server
         
         
   
           
           
           
         
   
       
           
           
           
         
         
   
           
           
           
         
   
       
        

   
   
   
2. 何もロードせずにIdaを開き、 Debugger > Attach to > Remote ARM/Android Debugger
   
   
   
   ます。
3. リストから目的のアプリケーションを選択します。
4. ライブラリを探しています（多くのオプションがありますが、私ができる最速の方法は、目でそれを見つけることです-スクロールとブラウジング。検索はゆっくり動作し、マークへのジャンプは常に動作しません。
5. ライブラリオフセット（私の場合は5D699000
   
   
   
   ）を覚えておいてください。
6. プロセスから切断します（「 Debugger > Detach from process
   
   
   
   「プロセスからDebugger > Detach from process
   
   
   
   ）。 デバイス上のプロセスは動作し続けます。
7. ファイルを開き、目的のオフセットを設定します（私の場合は0:5D699000
   
   
   
   ）。
8. Idaがファイルを解析している間に、android_serverを強制終了し、gdbserverを準備します。
   
   
   
   

    adb shell su /data/local/tmp/gdbserver --attach :5039 1234
         
         
   
           
           
           
         
   
       
           
           
           
         
         
   
           
           
           
         
   
       
        

   
   
   （--attachオプションは、既に実行中のプロセスに参加するようサーバーに指示します。5039はポート番号、1234はプロセスのpidです。これは、シェルの通常のps
   
   
   
   で確認できます）。
9. Idbの設定を変更して、gdbserverで動作するようにします。
10. プロセスに接続されています。

これで、すべてが正しく行われた場合、Idaが分析したライブラリコードが適切な場所に配置されます。



ライブラリの関数のリストを調べたところ、サーバーとの対話を担当する非常に興味深いグループが見つかりました。 機能の一部を次に示します。

• battleArenaStart
• battleArenaResult
• battleDungeonStart
• battleDungeonList
• battleDungeonResult

これらの関数はすべてJSONを形成し、データを設定して、 sub_5D839994



関数を呼び出しました。 この機能は、サーバーとの通信の基盤です。 文字列を暗号化し、base64にパックして、データを送信します。

多少なりとも明確なsmaliコードであっても、暗号をいじるのは困難でした。 まさに地獄でした。 暗号化に使用されるキーを見つけましたが、IVの検索で迷子になりました。

しかし、すでにデバッガーでアプリケーションを停止しているので、暗号化する前に回線を傍受し、変更してアプリケーションを続行するだけで十分です。 そして、変更された文字列はサーバーに送られます。

先ほど言ったように、この関数（sub_5D839994



）はサーバーとの通信がある場所（またはほぼどこでも）で使用されるため、ブレークポイントを置くことはほとんど役に立たず、ゲームにはチャットがあるのですぐに動作します。

少し手探りして、解決策を見つけました。 2つのブレークポイントを設定します。1つsub_5D839994



は目的の関数の呼び出しの前、もう1つは切断された形式でAESConvertEncode



、文字列の暗号化を担当する関数の直前です。



だから、真実の瞬間、私たちは強い敵に対してアリーナに入ります。敗北すると、それを失い、アプリケーションがフリーズします-ブレークポイントは機能しました。それをオフにし、前AESConvertEncode



にブレークポイントをオンにし、アプリケーションを起動して...デバッガは暗号化の直前に制御を取りました。レジスタの内容R0：

 { "command": "BattleArenaResult", "id": 1234567, "session_key": "***", "win": 2, "unit_status": [ {"unit_id": 1,"result": 2}, {"unit_id": 2,"result": 1}, {"unit_id": 3,"result": 1}, {"unit_id": 4,"result": 1} ], "unit_list": [ {"unit_id": 123456781, "pos_id": 1}, {"unit_id": 123456782, "pos_id": 2}, {"unit_id": 123456783, "pos_id": 3}, {"unit_id": 123456784, "pos_id": 4} ], "position": {"island_id": 1, "pos_x": 14, "pos_y": 22} }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

（9）％が確認された-このゲームでは、クライアントが戦闘に勝ち、サーバーのみが結果を取得するかどうかを決定します。

ブレークポイントを元に戻し、念のため何も変更しませんでした-特に理解できないデータがありましたunit_status



。その戦いで、私はなんとか敵の4匹のモンスターのうち1匹を殺すことができたので、大量のid-resultがモンスターの殺害に関するデータをサーバーに送信したと推測しました（2-死亡、1-生存）。少し後に、これが真実であることに気づきました。おそらく、このデータは、勝利の追加チェックおよび攻撃者の検索として使用されますが、明らかに、彼らの主な目標はモンスターからの略奪です。覚えているなら、最初に以下を書いた：

, . , , . : , , ? , «» , «» , , - .

ダンジョンに入ると、サーバーはモンスターのリストを作成し、各戦利品にバインドして、クライアントにデータを送信します。したがって、ゲーム内で何がどの程度落ちたかをすぐに確認できます。クライアントは以前に受け取った情報を表示するだけです。後で、彼はあなたが獲得した資料を送信しませんが、モンスターのステータス-デッドオアアライブ（勝利の場合にこれが必要な理由を説明します：ゲームには、レベルですべてのモンスターを殺すことなく到達できる場所があります、例えばボス+ 2モンスターこの場合、ボスを殺すだけで、さらに先に進みます）。サーバーはこの情報を受け取り、その情報を戦利品テーブルと比較し、殺されたモンスターに応じて経験値/リソースを割り当てます。経験を積むために、戦闘に参加しているモンスターのリストを送信します。



理論的には、デバッガの助けを借りて行うことはすべて、ゲームにとって非常に正当なものに見えます。勝利、すべてのモンスターは死んでいます。私たちを禁止するものは何もないようです。しかし、少し遅れて不愉快な瞬間を見つけました。先ほど言ったように、場所は3つ以上のレベルに分かれています。各レベルにはMobがあります。たとえば、次の状況を想像してください：



ステージ1-3モンスター（私たちはそれらを殺し、さらに進んだ）

ステージ2-4モンスター（ここでは1つを殺して死んだ）

ステージ3-3モンスター（以前に死んだので、このレベルに入らなかった）

暗号化の前にJSONをインターセプトすると、次のようになります。

 "unit_status": [ // Stage 1 {"unit_id": 1,"result": 2}, {"unit_id": 2,"result": 2}, {"unit_id": 3,"result": 2}, // Stage 2 {"unit_id": 4,"result": 2}, {"unit_id": 5,"result": 1}, {"unit_id": 6,"result": 1}, {"unit_id": 7,"result": 1} ]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ご覧のとおり、3番目のレベルに到達しなかったため、そのレベルのモンスターに関するデータはアップロードしませんでした。リクエストを「勝つ」に変更し、既存のモンスターのステータスを「デッド」に変更しても、3番目のレベルに残っている3つのMobに到達することはできません。そしてサーバーにとっては、彼らが生きているのです。答えが出たとしても、私たちは勝ちました。理論的には、彼らはこれをキャッチして禁止することができます。しかし、私はまだ生きています:)

同時に、アリーナには1つのレベルしかないため、そこからの要求は100％真実に見えます。



これですべてが明らかになりました。赤いクリスタルを無制限に獲得することはできませんが、希望する戦いに勝つことができます。ただし、このためには、デバイスをコンピューターに接続したままにし、絶えずブレークポイントを切り替えて、暗号化の前に要求を手動でやり直す必要があります。これはあまり便利ではありません。理論的には、あまり必要ありません。すべてのMobに対して、ユニットを常に「win」と「result」の2つに記述します。



JSONに「win」を追加するコードを探しています。ブレークポイントを少しいじって、この作品を見つけました。

 MOVS R0, R6 BLX __floatsidf BL cJSON_CreateNumber LDR R1, =(unk_5D8C3240 – 0x5D84666E) ; "win" MOVS R2, R0 LDR R0, [SP,#0x30+var_2C] ADD R1, PC BL cJSON_AddItemToObject
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

どうやら、R6



私たちが必要とするのは勝利の意味です。次に、勝利を自動的に割り当てるためにこの指示を変更する必要があります。

ゲームにはいつでも戦闘を終了する能力があり、敗北はカウントされることに注意してください。つまり、私たちは常に失う機会があり、それはR6



常に2になると期待できます。しかし、単純に2（0x2）か「2」（0x32 ASCII）かはあまり明確ではありませんでした。

ポイントが小さい-指示を変更します。残念ながら、IdaはASMコードの変更を許可していないため、命令のビットを変更する必要があります。



ゼロと1でプログラミングする方法を学びたいですか？私はそれらを持っています！



確かに、2つのボタンで特別な喜びのプログラミングを行い、指示を学習しました。ここで、ここでそして、ここに良い材料と指示のヒントがあります。

16進エディタに移動し、内部からどのように見えるかを確認します。

MOVS R0, R6 ; 321





命令を裏返し、取得し1C32



ます。バイナリ形式：

0001 1100 0011 0000





ご覧のとおり、2バイトの命令が使用されます。これはARMではなく（4バイトのものが使用されます）、ThumbまたはThumb-2です。

ただし、MOVS



このような指示は見つかりません。実際、命令は次のようになりADDS R0, R6, #0



ます。分析中に、Idaは命令をより便利な方法に変換します。これにより、小さな編集上の問題が発生する可能性があります。

 0001110 000 110 000 ADDS Imm Rn Rd
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ADDS



-この部分はこの命令に対して一定です

Imm



-即値。追加したい当面の意味。

Rn



-追加するレジスタ。

Rd



-宛先レジスタ。命令の実行後に金額を保存するレジスタ。



したがって、この命令を置き換える必要があります。どの特定のデュースが使用されたかわからなかったため、次のオプションを選択しました。

SUBS R0, R6, #1





命令はユニティSUBS



から減算しR6



、結果をに入れR0



ます。その結果、どのデュースが入っていてR6



も、R0



必要なユニットは入っています。

バイナリ形式で翻訳します：

 0001111 001 110 000 SUBS Imm Rn Rd
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

16進数で- 1E70



。フリップ- 701E



。次に、ライブラリ内のこの命令を置き換えます。

それは：

MOVS R0, R6





次のようになりました：

SUBS R0, R6, #1







念のため、ブレークポイントAESConvertEncode



を使用して関数の入り口にあるレジスタをチェックし、すべてが正しいことを確認します。



モンスターにステータスを割り当てる責任のある命令のみを置き換えることに変わりはありません。

彼女はすぐ下にいます。

 ADD R8, PC ; "unit_id" MOV R9, R3 ADD R9, PC ; "result" loc_5D8466E2 BL cJSON_CreateObject MOVS R4, R0 LDMIA R7!, {R0,R1} BLX __floatundidf BL cJSON_CreateNumber MOV R1, R8 MOVS R2, R0 MOVS R0, R4 BL cJSON_AddItemToObject LDMIA R6!, {R0} BLX __floatsidf BL cJSON_CreateNumber MOV R1, R9 MOVS R2, R0 MOVS R0, R4 BL cJSON_AddItemToObject ADDS R5, #1 MOV R0, R10 MOVS R1, R4 BL cJSON_AddItemToArray CMP R5, R11 BNE loc_5D8466E2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、配列はforループで走査されます。







レジスタが必要です- R6



。命令LDMIA



はR6



、1バイトを読み取り、R6



さらに1バイト移動して、受信したバイトの値をに書き込みますR0



。このような困難は必要ありませんR0



。2つ書く必要があります。MOVS R0, #2

 00100 000 00000010 MOVS Rd Imm
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

六角形- 2002



。裏返し（0220



）、交換します。

真実の瞬間：すべてのブレークポイントをオフにし、ダンジョンに入ります...



















利益！最も重要なことは、常に戦場を離れなければならないことを忘れないことです。誤って勝った場合、敗北がサーバーに送信されます。これで、デバイスをコンピューターから切断することもできます。アプリケーションが再起動するまで、変更されたライブラリはメモリ内でハングします。

結論の代わりに

このアプリケーションのハッキングが可能になったのは、主に著者自身が実際にクライアントでの戦闘の結果を検討していることを明らかにしたためです。同時に、モバイルオンラインゲームでは、セキュリティとユーザーの利便性の境界を守る必要があります。ゲームに常時接続が必要な場合、視聴者は減少します。開発者は潜在的なクラッカーの生活を複雑にしようとしました。彼らはデータ暗号化を行い、共有オブジェクトのメインゲームコードを削除しました。しかし、1つわかりにくいのは、関数名が難読化されないのはなぜですか？私はC / C ++でプログラムしませんでしたし、コンパイラにそのようなオプションがあるかどうかわかりません。しかし、すべての関数が「sub_xxxxxxxx



」と呼ばれると、アプリケーションのハッキングに費やされる時間が大幅に増加します。コメントで答えを聞いてうれしいです。



最後まで読んでくれた人に感謝します。

.

— .