[原创]游戏协议大道-筑基篇

2021-2-23 16:14 9790

[原创]游戏协议大道-筑基篇

零加一

2021-2-23 16:14

9790

上文的结尾说过，游戏数据交互是靠另一套协议来传输的。那么本篇章则开始分析该游戏协议。
感谢wmsuper

00.抓包

通过抓包发现，包的可读性变差了。但看着像是序列化后的json。
其中的参数都是上一篇所见识到的。

00.0.印证

前面说到，这些数据像是序列化后的json。印证了一下，确实如此。
前六个字节为包头，随后四字节表示长度。

def DecodeData(Data,IsSend,ShowLog):
    Len=0
    index=0
    Maxlen=len(Data)
    b_msg=b''
    Res=[]
    while index<Maxlen:
        ZmFlag=Data[index:index+2]
        index+=6
        Len=Data[index:index+4]
        index+=4
        Len=int().from_bytes(Len, byteorder='big', signed=True)
        if index+Len<=Maxlen:
            b_msg=Data[index:index+Len]
            index+=Len
            msg=msgpack.unpackb(b_msg,raw=False)
            Res.append(msg)
            if ShowLog:
                print(msg)
            Len=0
        else:
            break
    return Res

当我以为这就修道结束的时候，发现后面发送的包居然无法正常解析，显然是加密了。
但发现每个加密的包都会有'cr'两个字符是不变的。经过一些简单的测试都无法解密，那么就直接对程序进行拆包分析了。

01.拆包

将apk解压后查看lib目录发现信息如下
libil2cpp.so
libtolua.so
libunity.so

C#+u3d+lua，经典游戏开发套路。
当我满心欢喜使用Il2CppDumper对il2cpp进行提取后，啥有用信息都没得。此时fk游戏团队！
把il2cpp拉进ida加载Il2CppDumper给的签名(足足44mb)，加载大概半个钟，啥有用信息都没得。再次fk游戏团队！
难道游戏逻辑靠lua?
在assets目录下有Lua_Android这么个文件夹引起了我的注意

里面unity3d结尾的都是unity打包的文件，不过头部都多了11个字节出来。

01.1 导出lua

首先清掉文件开头多出来的11个字节保存

然后用AssetStudio加载对应的文件夹32bit_out

嚯,好家伙。看了一下，半喜半忧。

01.2 解密lua

经过一番寻找，终于在il2cpp.so里找到了lua解密的函数。但没想到这么简单！！！
密钥为:'m71'

.bss:036D6D18 StringLiteral_14090 % 4                 ; DATA XREF: LuaEncryption$$Encrypt+5C↑o
.bss:036D6D18                                         ; LuaEncryption$$Encrypt+68↑o ...
.bss:036D6D18                                         ; m71

01.2.1 解密luac

但是解出来的是luac，还得用工具把他反编译成lua

01.2.1 反编译luac

使用luajit-decompiler对解密的luac进行批量反编译
下载地址:https://gitlab.com/znixian/luajit-decompiler

1	`python ./main.py` `--recursive ./xy_luac` `--dir_out ./xy_lua_d` `--catch_asserts` `-e luac`

完成后，大部分都能反编译成功

02.分析

抓包的时候我们说过，进入游戏后发送的包是加密的。那么我们现在要做的就是找到加密的地方看看算法
通过加密的包里cr字符串的定位可以很幸运的找到了加密的地方

首先是key的来源，看起来是一个时间戳+"000000"来生成的

local key = MISC_MGR.lst()
 
function lst()
    return _last_sync_time
end
 
function sync_server_time(time)
    _last_sync_time = tostring(time) .. "000000"
 
    logger:info("SYNC server time %f", time)
 
    _time_diff = time - UnityEngine.Time.realtimeSinceStartup
end
 
return function (rid, server_id, time, start_server_time)
    logger:info("玩家(%s)登录成功，时间=%d", rid, time)
    REMOTE_MGR.set_local_server_id(server_id)
    MISC_MGR.sync_server_time(time)
    MISC_MGR.set_start_server_time(start_server_time)
    LTSDK_MGR.login_report()
    AUTHSERVER_MGR.disconnect()
    LTSDK_MGR.sync_last_request()
    WINDOW_MGR.hide_wait()

都没有明确的值来源，服务端要想解密要么本地发送密钥或者服务端下发密钥，这时就得看看有没有什么可疑的数据包了
在顺着第一个被加密的包往上找，终于让我找到了一个相关的

反序列化后数据为:

1	`['sync_server_time', [1614052775]]`

接着是加密的算法，时间戳+6个0刚好16位，难道是aes？

msg = "cr" .. cry.encrypt(key, msg, 16, 1)
 
function encrypt(n, s, h, r, d)
    assert(n ~= nil, "Empty password.")
    assert(n ~= nil, "Empty data.")
 
    local r = r or CBCMODE
    local h = h or AES128
    local l = {
        string.byte(n, 1, #n)
    }
    local u = util.padByteString(s)
 
    if r == ECBMODE then
        return ciphermode.encryptString(l, u, ciphermode.encryptECB, d)
    elseif r == CBCMODE then
        return ciphermode.encryptString(l, u, ciphermode.encryptCBC, d)
    elseif r == OFBMODE then
        return ciphermode.encryptString(l, u, ciphermode.encryptOFB, d)
    elseif r == CFBMODE then
        return ciphermode.encryptString(l, u, ciphermode.encryptCFB, d)
    elseif r == CTRMODE then
        return ciphermode.encryptString(l, u, ciphermode.encryptCTR, d)
    else
        error("Unknown mode", 2)
    end
end
AES128 = 16
AES192 = 24
AES256 = 32
ECBMODE = 1
CBCMODE = 2
OFBMODE = 3
CFBMODE = 4
CTRMODE = 4
 
aes = e(function (n, ...)
    local s = util.putByte
    local h = util.getByte
    local r = "rounds"
    local d = "type"
    ...

应该不会是魔改的aes吧？

经过测试，标准的aes_ecb加密。

03.筑基

最终展示如下，登录成功把已登录的挤掉线！

多的不敢写，怕封号。

04.结尾

筑基失败，当场飞升了。

End

恭喜ID[飞翔的猫咪]获看雪安卓应用安全能力认证高级安全工程师！！

最后于 2021-2-23 16:17 被零加一编辑，原因：

#逆向分析

收藏・41

点赞・6

打赏

打赏 + 51.00雪花

涂鸦_tuya

打赏次数 2

雪花 + 51.00

涂鸦_tuya	+50.00	2021/04/04
涂鸦_tuya	+1.00	2021/04/04	1

最新回复 (13)
wmsuper 雪币： 10873 活跃值： (11591) 能力值： ( LV12，RANK：310 ) 在线值：发帖 34 回帖 102 粉丝 261 关注私信	wmsuper 5 2021-2-23 16:23 2 楼 0 tql
supperlitt 雪币： 2016 活跃值： (4230) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 378 粉丝 23 关注私信	supperlitt 2021-2-23 17:30 3 楼 0 tql
眯着眼睛雪币： 1872 活跃值： (390) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	眯着眼睛 2021-2-23 17:49 4 楼 0 tql
Dyingchen 雪币： 3624 活跃值： (1768) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 36 粉丝 15 关注私信	Dyingchen 2021-2-23 18:31 5 楼 0 tql
无名侠雪币： 4836 活跃值： (5075) 能力值： ( LV17，RANK：787 ) 在线值：发帖 75 回帖 380 粉丝 336 关注私信	无名侠 12 2021-2-23 21:43 6 楼 0 什么时候元婴
pureGavin 雪币： 9696 活跃值： (9569) 能力值： ( LV12，RANK：240 ) 在线值：发帖 58 回帖 1143 粉丝 134 关注私信	pureGavin 2 2021-2-23 21:57 7 楼 0 感谢分享，筑基强者恐怖如斯
零加一雪币： 806 活跃值： (3814) 能力值： ( LV12，RANK：223 ) 在线值：发帖 11 回帖 30 粉丝 98 关注私信	零加一 2 2021-2-23 23:26 8 楼 0 无名侠什么时候元婴筑基失败灵根废了。修不了了
JusticeTitan 雪币： 3004 活跃值： (976) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	JusticeTitan 2021-2-26 21:12 9 楼 0 好家伙～
by029 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	by029 2021-3-17 13:50 10 楼 0 是12个字节, 0 - 11
涂鸦_tuya 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	涂鸦_tuya 2021-4-4 04:33 11 楼 0 可否留个联系方式
Anesthesia- 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 1 关注私信	Anesthesia- 2021-4-13 02:26 12 楼 0 大佬，跪求认识一下，有个问题想要求助，有偿。
wx_阿宇จุ๊บ 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_阿宇จุ๊บ 2021-5-16 17:10 13 楼 0 属实牛x
万里星河雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 267 粉丝 0 关注私信	万里星河 2021-5-17 10:40 14 楼 0 游戏协议大道从练气到飞升
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

零加一

发帖

回帖

223

RANK

关注

私信

他的文章

[原创]【从0到1】-某系统漏洞挖掘之授权绕过到rce

[原创]【从0到1】-某系统漏洞挖掘之固件分析

记一次网关设备的pwn

[原创]我洗个澡就绕过了杀软的防护

[原创]iot初体验

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (13)
wmsuper 雪币： 10873 活跃值： (11591) 能力值： ( LV12，RANK：310 ) 在线值：发帖 34 回帖 102 粉丝 261 关注私信	wmsuper 5 2021-2-23 16:23 2 楼 0 tql
supperlitt 雪币： 2016 活跃值： (4230) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 378 粉丝 23 关注私信	supperlitt 2021-2-23 17:30 3 楼 0 tql
眯着眼睛雪币： 1872 活跃值： (390) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	眯着眼睛 2021-2-23 17:49 4 楼 0 tql
Dyingchen 雪币： 3624 活跃值： (1768) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 36 粉丝 15 关注私信	Dyingchen 2021-2-23 18:31 5 楼 0 tql
无名侠雪币： 4836 活跃值： (5075) 能力值： ( LV17，RANK：787 ) 在线值：发帖 75 回帖 380 粉丝 336 关注私信	无名侠 12 2021-2-23 21:43 6 楼 0 什么时候元婴
pureGavin 雪币： 9696 活跃值： (9569) 能力值： ( LV12，RANK：240 ) 在线值：发帖 58 回帖 1143 粉丝 134 关注私信	pureGavin 2 2021-2-23 21:57 7 楼 0 感谢分享，筑基强者恐怖如斯
零加一雪币： 806 活跃值： (3814) 能力值： ( LV12，RANK：223 ) 在线值：发帖 11 回帖 30 粉丝 98 关注私信	零加一 2 2021-2-23 23:26 8 楼 0 无名侠什么时候元婴筑基失败灵根废了。修不了了
JusticeTitan 雪币： 3004 活跃值： (976) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	JusticeTitan 2021-2-26 21:12 9 楼 0 好家伙～
by029 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	by029 2021-3-17 13:50 10 楼 0 是12个字节, 0 - 11
涂鸦_tuya 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	涂鸦_tuya 2021-4-4 04:33 11 楼 0 可否留个联系方式
Anesthesia- 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 1 关注私信	Anesthesia- 2021-4-13 02:26 12 楼 0 大佬，跪求认识一下，有个问题想要求助，有偿。
wx_阿宇จุ๊บ 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_阿宇จุ๊บ 2021-5-16 17:10 13 楼 0 属实牛x
万里星河雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 267 粉丝 0 关注私信	万里星河 2021-5-17 10:40 14 楼 0 游戏协议大道从练气到飞升
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复