Hola, con el xdbg, puedo saber como se comporta un archivo .exe a nivel -codigo maquina mirando los registro de memoria y lo que hace en cada linea de codigo que ejecuta-
Pero actualmente estoy en un juego por javasprit, que no se ejecuta en el ordenador, es como una especie de juego tipo banco, me conecto al servidor, hay archivos que se guardan en cache en la memoria, tipo javasript.
Tenia pensado parar la ejecucion y con un debugger poder repetir instrucciones, o rescribir en la memoria RAM, para engañar al sistema.
Hay alguna herramienta que se encarge de engañar al servidor. De momento he visto con F12 lo que hace.
Envia una peticion tipo POST en un archivo php.
Se divide en dos partes, segun he podido comprovar con la tecla F12 que ahbilita el navegador mozilla firefox, Cabeceras de peticion y cabeceras de respuesta.
LA CABCERA DE PETICION ES, (sin habilitar la opcion : cabeceras sin procesar)
Host: es-do.gamigo.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 17
Origin: https://es-do.gamigo.com
Connection: keep-alive
Referer: https://es-do.gamigo.com/world1/index.php
Cookie: applesc=1-92245-1584288925; applesd=1-92245-1584288925; infopanel_tab_reports=down; infopanel_tab_quest=down; gamigo=32 numeros hexadecimales; _gcl_au=1.1.411068693.1584047180; _fbp=fb.1.1584047179943.924464983; _ga=GA1.2.966480447.1584047180; rid=0; _gid=GA1.2.1239752777.1584201827; PHPSESSID=mi hash de mi sesion php; platform=desktop; isAppMobile=1; thisUsersLandId=mi numero de identificacion; thisUsersHash=mihash de usuario; csit_=%7B%221%22%3A%2292245%22%7D; _gat_UA-102308441-1=1; applesd=1-92245-1584288925; applesc=1-92245-1584288925; apples=1-92245-1584288925
En resumen
Hay.
Accept: application/json, text/javascript, */*; q=0.01
Accept encoding: gzip, deflate, br
Accept Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
content Length:17
Content Type: application/x-www-form-urlencoded; charset=UTF-8
cookie: applesc=1-92245-1584288925; applesd=1-92245-1584288925; infopanel_tab_reports=down; infopanel_tab_quest=down; gamigo=32 numeros hezadecimales; _gcl_au=1.1.411068693.1584047180; _fbp=fb.1.1584047179943.924464983; _ga=GA1.2.966480447.1584047180; rid=0; _gid=GA1.2.1239752777.1584201827; PHPSESSID=mi hash de mi sesion php; platform=desktop; isAppMobile=1; thisUsersLandId=mi numero de identificacion; thisUsersHash=mi hash de usuario; csit_=%7B%221%22%3A%2292245%22%7D; _gat_UA-102308441-1=1; applesd=1-92245-1584288925; applesc=1-92245-1584288925; apples=1-92245-1584288925
El host, el origen, la referencia, el user agent...
Request: XMLHttpRequest
Segun los parametros. Los datos de contenido bubleId:10001634, siendo el contenido de la peticion bubbleId=10001634
La respuesta es un JSON
{"success":true,"newAmount":"muchos numeros..."}
La traza de la pila es:
send
https://es-do.gamigo.com/world1/js/_desktop.js:233:223
ajax
https://es-do.gamigo.com/world1/js/_desktop.js:226:290
cashResourceBubble
https://es-do.gamigo.com/world1/js/_desktop.js:2141:193
dispatch
https://es-do.gamigo.com/world1/js/_desktop.js:167:336
h.dispatch
https://es-do.gamigo.com/world1/js/_desktop.js:1027:444
add/p.handle
https://es-do.gamigo.com/world1/js/_desktop.js:163:474
LA CABECERA DE RESPUESTA ES :
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Sun, 15 Mar 2020 20:19:01 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 94
Connection: keep-alive
node: web10
P3P: CP="CAO PSA OUR"
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: dicRegion=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/
X-USER-RID: 0
X-LOGIN-METHOD: gamigo
Set-Cookie: reactivate_account=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/
Set-Cookie: reactivate_account=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=es-do.gamigo.com
Set-Cookie: reactivate_account=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.es-do.gamigo.com
Set-Cookie: csit_=%7B%221%22%3A%2292245%22%7D; expires=Sun, 15-Mar-2020 21:19:01 GMT; path=/
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Segun la herramienta debugger de moxilla firefox, con la tecla F12, me habilita la opcion de poder editar y volver a enviar, pero a las peticiones les asigna distintos numeros de bubbleId, ademas desde una direccion remota 46.253.155.8: 443, por tanto utilizando el puerto SSH
Creo que el motor es COBOL, y la capa interfaz es javascript, pero no se en que registro de memoria se me quedan las cookies, tendria que grabar con un programa, y congelar todas esas entradas, con un decodificados XMLHTTP, o XHR o algo asi, no se estoy buscando programas, de momento provare con wireshark, aunque deberia decodificar, e inyectar.
Otros datos de interes
{"Conexión:":{"Versión del protocolo:":"TLSv1.2","Suite de cifrado:":"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256","Grupo de intercambio de claves:":"P256","Esquema de firma:":"RSA-PKCS1-SHA256"},"Servidor es-do.gamigo.com:":{"Seguridad estricta de transporte HTTP:":"Desactivado","Fijado (Pinning) de clave pública:":"Desactivado"},"Certificado:":{"Emitido para":{"Nombre común (CN):":"gamigo.com","Organización (O):":"<No disponible>","Unidad organizativa (OU):":"<No disponible>"},"Emitido por":{"Nombre común (CN):":"Let's Encrypt Authority X3","Organización (O):":"Let's Encrypt","Unidad organizativa (OU):":"<No disponible>"},"Periodo de validez":{"Comienza el:":"viernes, 10 de enero de 2020","Caduca el:":"jueves, 09 de abril de 2020"},"Huellas digitales":{"Huella digital SHA-256:":"5E:xxxxxxxx:71","Huella digital SHA1:":"DE:xxxxxx:AC"},"Transparencia:":"<No disponible>"}}
No he puesto toda la huella digital del hash, en lugar e puesto (xxxxxxxxxx)
Luego en el depurador he encontrado tres tipos.
play, desktop.js y gamefront.js
y en una parte del código de gamefront.js me ha impactado el siguiente código fuente
// List taken from https://github.com/danielmiessler/SecLists (MIT License)
defaultOptions.rules.commonPasswords = [
'123456',
'password',
'12345678',
'qwerty',
'123456789',
'12345',
'1234',
'111111',
'1234567',
'dragon',
'123123',
'baseball',
'abc123',
'football',
'monkey',
'letmein',
'696969',
'shadow',
'master',
'666666',
'qwertyuiop',
'123321',
'mustang',
'1234567890',
'michael',
'654321',
'pussy',
'superman',
'1qaz2wsx',
'7777777',
'fuckyou',
'121212',
'000000',
'qazwsx',
'123qwe',
'killer',
'trustno1',
'jordan',
'jennifer',
'zxcvbnm',
'asdfgh',
'hunter',
'buster',
'soccer',
'harley',
'batman',
'andrew',
'tigger',
'sunshine',
'iloveyou',
'fuckme',
'2000',
'charlie',
'robert',
'thomas',
'hockey',
'ranger',
'daniel',
'starwars',
'klaster',
'112233',
'george',
'asshole',
'computer',
'michelle',
'jessica',
'pepper',
'1111',
'zxcvbn',
'555555',
'11111111',
'131313',
'freedom',
'777777',
'pass',
'fuck',
'maggie',
'159753',
'aaaaaa',
'ginger',
'princess',
'joshua',
'cheese',
'amanda',
'summer',
'love',
'ashley',
'6969',
'nicole',
'chelsea',
'biteme',
'matthew',
'access',
'yankees',
'987654321',
'dallas',
'austin',
'thunder',
'taylor',
'matrix'
];
A mi me daria verguenza