Pregunta sobre herramienta

Antoniocatapum · Marzo 15, 2020, 05:33:08 PM

Hola, con el xdbg, puedo saber como se comporta un archivo .exe a nivel -codigo maquina mirando los registro de memoria y lo que hace en cada linea de codigo que ejecuta-

Pero actualmente estoy en un juego por javasprit, que no se ejecuta en el ordenador, es como una especie de juego tipo banco, me conecto al servidor, hay archivos que se guardan en cache en la memoria, tipo javasript.

Tenia pensado parar la ejecucion y con un debugger poder repetir instrucciones, o rescribir en la memoria RAM, para engañar al sistema.

Hay alguna herramienta que se encarge de engañar al servidor. De momento he visto con F12 lo que hace.

Envia una peticion tipo POST en un archivo php.

Se divide en dos partes, segun he podido comprovar con la tecla F12 que ahbilita el navegador mozilla firefox, Cabeceras de peticion y cabeceras de respuesta.

LA CABCERA DE PETICION ES, (sin habilitar la opcion : cabeceras sin procesar)

Host: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 17
Origin: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Connection: keep-alive
Referer: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Cookie: applesc=1-92245-1584288925; applesd=1-92245-1584288925; infopanel_tab_reports=down; infopanel_tab_quest=down; gamigo=32 numeros hexadecimales; _gcl_au=1.1.411068693.1584047180; _fbp=fb.1.1584047179943.924464983; _ga=GA1.2.966480447.1584047180; rid=0; _gid=GA1.2.1239752777.1584201827; PHPSESSID=mi hash de mi sesion php; platform=desktop; isAppMobile=1; thisUsersLandId=mi numero de identificacion; thisUsersHash=mihash de usuario; csit_=%7B%221%22%3A%2292245%22%7D; _gat_UA-102308441-1=1; applesd=1-92245-1584288925; applesc=1-92245-1584288925; apples=1-92245-1584288925

En resumen

Hay.

Accept: application/json, text/javascript, */*; q=0.01

Accept encoding: gzip, deflate, br

Accept Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3

Connection: keep-alive

content Length:17

Content Type: application/x-www-form-urlencoded; charset=UTF-8

cookie: applesc=1-92245-1584288925; applesd=1-92245-1584288925; infopanel_tab_reports=down; infopanel_tab_quest=down; gamigo=32 numeros hezadecimales; _gcl_au=1.1.411068693.1584047180; _fbp=fb.1.1584047179943.924464983; _ga=GA1.2.966480447.1584047180; rid=0; _gid=GA1.2.1239752777.1584201827; PHPSESSID=mi hash de mi sesion php; platform=desktop; isAppMobile=1; thisUsersLandId=mi numero de identificacion; thisUsersHash=mi hash de usuario; csit_=%7B%221%22%3A%2292245%22%7D; _gat_UA-102308441-1=1; applesd=1-92245-1584288925; applesc=1-92245-1584288925; apples=1-92245-1584288925

El host, el origen, la referencia, el user agent...

Request: XMLHttpRequest

Segun los parametros. Los datos de contenido bubleId:10001634, siendo el contenido de la peticion bubbleId=10001634

La respuesta es un JSON

{"success":true,"newAmount":"muchos numeros..."}

La traza de la pila es:

send
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
ajax
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
cashResourceBubble
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
dispatch
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
h.dispatch
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
add/p.handle
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

LA CABECERA DE RESPUESTA ES :

HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Sun, 15 Mar 2020 20:19:01 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 94
Connection: keep-alive
node: web10
P3P: CP="CAO PSA OUR"
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: dicRegion=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/
X-USER-RID: 0
X-LOGIN-METHOD: gamigo
Set-Cookie: reactivate_account=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/
Set-Cookie: reactivate_account=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=es-do.gamigo.com
Set-Cookie: reactivate_account=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.es-do.gamigo.com
Set-Cookie: csit_=%7B%221%22%3A%2292245%22%7D; expires=Sun, 15-Mar-2020 21:19:01 GMT; path=/
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip

Segun la herramienta debugger de moxilla firefox, con la tecla F12, me habilita la opcion de poder editar y volver a enviar, pero a las peticiones les asigna distintos numeros de bubbleId, ademas desde una direccion remota 46.253.155.8: 443, por tanto utilizando el puerto SSH

Creo que el motor es COBOL, y la capa interfaz es javascript, pero no se en que registro de memoria se me quedan las cookies, tendria que grabar con un programa, y congelar todas esas entradas, con un decodificados XMLHTTP, o XHR o algo asi, no se estoy buscando programas, de momento provare con wireshark, aunque deberia decodificar, e inyectar.

Otros datos de interes

{"Conexión:":{"Versión del protocolo:":"TLSv1.2","Suite de cifrado:":"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256","Grupo de intercambio de claves:":"P256","Esquema de firma:":"RSA-PKCS1-SHA256"},"Servidor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:":{"Seguridad estricta de transporte HTTP:":"Desactivado","Fijado (Pinning) de clave pública:":"Desactivado"},"Certificado:":{"Emitido para":{"Nombre común (CN):":"gamigo.com","Organización (O):":"<No disponible>","Unidad organizativa (OU):":"<No disponible>"},"Emitido por":{"Nombre común (CN):":"Let's Encrypt Authority X3","Organización (O):":"Let's Encrypt","Unidad organizativa (OU):":"<No disponible>"},"Periodo de validez":{"Comienza el:":"viernes, 10 de enero de 2020","Caduca el:":"jueves, 09 de abril de 2020"},"Huellas digitales":{"Huella digital SHA-256:":"5E:xxxxxxxx:71","Huella digital SHA1:":"DE:xxxxxx:AC"},"Transparencia:":"<No disponible>"}}

No he puesto toda la huella digital del hash, en lugar e puesto (xxxxxxxxxx)

Luego en el depurador he encontrado tres tipos.

play, desktop.js y gamefront.js

y en una parte del código de gamefront.js me ha impactado el siguiente código fuente

// List taken from No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (MIT License)
defaultOptions.rules.commonPasswords = [
'123456',
'password',
'12345678',
'qwerty',
'123456789',
'12345',
'1234',
'111111',
'1234567',
'dragon',
'123123',
'baseball',
'abc123',
'football',
'monkey',
'letmein',
'696969',
'shadow',
'master',
'666666',
'qwertyuiop',
'123321',
'mustang',
'1234567890',
'michael',
'654321',
'pussy',
'superman',
'1qaz2wsx',
'7777777',
'fuckyou',
'121212',
'000000',
'qazwsx',
'123qwe',
'killer',
'trustno1',
'jordan',
'jennifer',
'zxcvbnm',
'asdfgh',
'hunter',
'buster',
'soccer',
'harley',
'batman',
'andrew',
'tigger',
'sunshine',
'iloveyou',
'fuckme',
'2000',
'charlie',
'robert',
'thomas',
'hockey',
'ranger',
'daniel',
'starwars',
'klaster',
'112233',
'george',
'asshole',
'computer',
'michelle',
'jessica',
'pepper',
'1111',
'zxcvbn',
'555555',
'11111111',
'131313',
'freedom',
'777777',
'pass',
'fuck',
'maggie',
'159753',
'aaaaaa',
'ginger',
'princess',
'joshua',
'cheese',
'amanda',
'summer',
'love',
'ashley',
'6969',
'nicole',
'chelsea',
'biteme',
'matthew',
'access',
'yankees',
'987654321',
'dallas',
'austin',
'thunder',
'taylor',
'matrix'
];

A mi me daria verguenza

Pregunta sobre herramienta

Antoniocatapum

Marzo 15, 2020, 05:33:08 PM Ultima modificación: Marzo 15, 2020, 07:17:09 PM por Antoniocatapum