ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
04.06.2015, 22:35
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от justcoolgeo
justcoolgeo said:
↑
Уважаемый BabaDook, план таков:
Если проверки сертификата в клиенте pokerStars нет - то можно перехватить трафик и парсить его налету.
Если защита всё же есть, то прийдется заняться реверс-инженеренгом (крэкингом).
Нужно будет декомпилировать клиент pokerStars, найти функцию(и) которые осуществляют эту проверку (защиту).
Потом или пропатчить клиента OllyDbg-ром или написать библиотеку (dll) с перехватом и модификацией этой(х) функции(й),
которую нужно будет заинжектить в процесс клиента pokerStars.
Чтобы использовать OllyDbg - нужно очень хорошо знать assembler (я его практически не знаю
)
Перехват функций с инжектом dll - нужно знать C++, и пользоваться декомпилятором ida hex rays, где hex rays - это почти удачная попытка преобразования
кода Assembler в C++
ida hex rays мне более понятна и мне с ней проще так что я буду не патчить клиента, а перехватывать и модифицировать функции... Ясно
|
|
|
|
05.06.2015, 12:28
|
|
Guest
Сообщений: n/a
Провел на форуме:
3301
Репутация:
0
|
|
Сообщение от frank
frank said:
↑
А можно подробнее про послденее предложение, я просто в реверсе совсем не силен, так, на уровне примитива. Т.е., я правильно понимаю что в клиента внедряется некая функция, на не котором этапе обработки кода, отдает функции и код в программу, модифицирует на лету и возвращает в клиента уже где-то на другом этапе обработки? Уважаемый frank, вы немного не так поняли
1. сначала декомпилируем приложение, находим нужную нам функцию и узнаем её адрес
2. в библиотеке (dll) пишем перехват функции и модификацию данных
например:
в программе есть функция "пить чай" с входными параметрами "тип чая (зелёный, чёрный)" и "кол-во сахара (в чайных ложках)"
эта функция имеет следующий вид - ПитьЧай(чай, сахар) с адресом 0x0000001
делаем прототип функции "пить чай"
эта функция имеет следующий вид - ПрототипПитьЧай(чай, сахар)
делаем перехват функции - я использую метод сплайсинга ( https://ru.wikipedia.org/wiki/Перехват_(программирование ))
суть в том, что когда идёт вызов оригинальной функции ПитьЧай по адресу 0x0000001 то запускается наш прототип ПрототипПитьЧай и получает входные параметры, которые передаются в оригинальную функцию
в функции ПрототипПитьЧай мы изменяем входные параметры и модифицированные данные передаем в оригинальную функцию ПитьЧай
это выглядит примерно так:
//допустим что "чай" - чёрный, а "сахар" - 2 ложки
функция ПрототипПитьЧай(чай, сахар){
//меняем параметры
чай = кофе
сахар = 100500
//передаем модифицированные параметры
ПитьЧай(чай, сахар)
}
или так
//допустим что "чай" - чёрный, а "сахар" - 2 ложки
функция ПрототипПитьЧай(чай, сахар){
//передаем модифицированные параметры
ПитьЧай(кофе, 100500)
}
|
|
|
|
05.06.2015, 12:37
|
|
Guest
Сообщений: n/a
Провел на форуме:
56887
Репутация:
28
|
|
Спасибо. действительно понял не так, почему и заинтересовался Спасибо за разъяснение.
|
|
|
|
05.06.2015, 13:25
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Не знаю что это за PockerStar, но могу предложить возможный вариант. Иногда бывает так, что в клиент встроен браузер, например, для просмотра профиля чужого игрока. Если такая схема возможна, есть вектор MITM JS. Вы заставляете браузер выполнить JS скрипт, с ВК например, даже если SSL не сбрасывается, схема катит на отлично.
|
|
|
|
05.06.2015, 13:29
|
|
Guest
Сообщений: n/a
Провел на форуме:
56887
Репутация:
28
|
|
Сообщение от Filipp
Filipp said:
↑
Не знаю что это за PockerStar, но могу предложить возможный вариант. Иногда бывает так, что в клиент встроен браузер, например, для просмотра профиля чужого игрока. Если такая схема возможна, есть вектор MITM JS. Вы заставляете браузер выполнить JS скрипт, с ВК например, даже если SSL не сбрасывается, схема катит на отлично. Я правильно понимаю, вы имеете ввиду вот такую схему?
|
|
|
|
05.06.2015, 13:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
3301
Репутация:
0
|
|
Сообщение от Filipp
Filipp said:
↑
Не знаю что это за PockerStar, но могу предложить возможный вариант. Иногда бывает так, что в клиент встроен браузер, например, для просмотра профиля чужого игрока. Если такая схема возможна, есть вектор MITM JS. Вы заставляете браузер выполнить JS скрипт, с ВК например, даже если SSL не сбрасывается, схема катит на отлично. PokerStars - это покерный клиент ( http://www.pokerstars.info/)
Он использует SSL (TCP)
|
|
|
|
05.06.2015, 14:13
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от frank
frank said:
↑
Я правильно понимаю, вы имеете ввиду вот такую схему?
Типа да.. Оно. Я MITM'ом никогда не увлекался, но видел пару раз как такую вещь проворачивают.
|
|
|
|
19.04.2016, 02:40
|
|
Guest
Сообщений: n/a
Провел на форуме:
35558
Репутация:
0
|
|
|
|
|
|
19.04.2016, 03:21
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
Провел на форуме:
4512
Репутация:
0
|
|
Посмотри на даты. ТС давно уже PokerStars сломал и разбогател, ему твои мелочи не интересны.
|
|
|
19.04.2016, 13:27
|
|
Guest
Сообщений: n/a
Провел на форуме:
35558
Репутация:
0
|
|
Сообщение от M_script
M_script said:
↑
Посмотри на даты. ТС давно уже PokerStars сломал и разбогател, ему твои мелочи не интересны. Тема еще не закрыта. А на счет того, что PokerStars взломали не слышал да и к тому же в этой теме не довели идею до конца.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
