Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[OSX] Comment rediriger la connexion !

Labo

Salut aux Mac-users,

Pour vous éviter beaucoup de tracas, je vais vous apprendre à rediriger la connexion sortant du client et destinée au serveur d'authentification vers votre machine.

J'utilise la commande ipfw pour gérer un firewall intégré à OSX. Cependant, à moins d'avoir une vieille version d'OSX, un man ipfw ne donnera rien.

Il y a deux principaux serveurs de connexion ankama, le .39 et le .40. Au début, je pensais rediriger les connexions sortantes allant vers le port 5555 vers le local puis me connecter au port 443 du serveur (attention, le port 443 n'utilise pas SSL, c'est exactement la même connexion). Or, pour utiliser ipfw et filtrer les connexions allant vers le serveur, on doit faire croire à la machine que son ip nous appartient. Et après, le serveur ne veut pas accepter de connexions de lui-même :cry:

J'ai donc dû trouver une autre solution. On oublie le port 443 et on se connecte à l'autre serveur.

Ainsi (j'utilise que le port 5555 pour ma part), je redirige les connexions allant à .39 vers localhost:portA et celles allant à .40 vers localhost:portB. J'écoute sur les deux ports (avec des sockets non bloquants), sachant que seul un va recevoir une connexion du client, et quand je la reçois, je désactive la règle qui redirige le traffic allant vers l'autre serveur.

Voici un code qui pourra vous inspirer :D (ou que vous pouvez utiliser si vous utilisez Python3) :

import os
from getpass import getpass

def redirections_on(IpDst,PtDst,PtFwd,mdp=''):
    """Redirige les connexions sortantes à destination de IpDst:PtDst vers 127.0.0.1:PtFwd"""
    if not mdp:
        mdp=getpass("Entrez un mot de passe Administrateur :\n")
    os.popen('echo '+mdp+'| sudo -S ifconfig lo0 '+IpDst+' add').read()
    flux = os.popen('echo '+mdp+'| sudo -S ipfw add fwd 127.0.0.1,'+str(PtFwd)+' tcp from me to '+IpDst+' dst-port '+str(PtDst))
    print('Tous les paquets à destination de '+IpDst+':'+str(PtDst)+' sont redirigés à présent vers 127.0.0.1:'+str(PtFwd)+'.')
    return flux.read()[:-1]
   
def redirections_off(IpDst,redrule,mdp=''):
    if not mdp:
        mdp=getpass("Entrez un mot de passe Administrateur :\n")
    os.popen('echo '+mdp+'| sudo -S ifconfig lo0 '+IpDst+' remove').read()
    print("L'alias avec "+IpDst+" est maintenant supprimé.")
    os.popen('echo '+mdp+'| sudo -S ipfw delete '+redrule).read()
    print("La règle ipfw a été supprimée.")

La première fonction renvoie la règle du firewall sous la forme d'une chaîne de caractères (en fait, c'est la sortie du terminal). La seconde l'utilise (redrule) pour supprimer cette règle.

Si jamais vous n'avez pas pu (à cause d'un bug ou de n'importe quoi d'autre) annuler les redirections, voici le code de nettoyage :

from getpass import getpass
import os

def clean():
    mdp=getpass("Entrez un mot de passe Administrateur :\n")

    os.system('echo '+mdp+'| sudo -S ipfw flush')
    for ip in {39,40}:
        os.system('echo '+mdp+'| sudo -S ifconfig lo0 213.248.126.'+str(ip)+' remove &> /dev/null')

if __name__== "__main__":
    clean()

Il supprime toutes les règles du firewall (même les autres) (mais ce n'est pas grave car ce n'est pas le même firewall que celui de l'interface graphique), ainsi que les éventuels alias vers les ips des serveurs Ankama (rien ne vous empêche de remplacer {39,40} par d'autres ips, mais ce n'est pas utile, sauf si vous êtes sur un serveur de beta ou le serveur japonais).

Bonne chance à tous ! ;)

Gohu

Super merci pour l'info. Sympa pour moi en tant qu'utilisteur osx. Tu pense que il y a moyen de telecharger cette fonction sous win pour en faire un système complètement portable?

Labo

Mais de rien !!! Ça fait toujours plaisir un merci :D

Google et wikipedia sont tes amis ;)

http://fr.wikipedia.org/wiki/Ipfirewall

http://wipfw.sourceforge.net/

(en fait je m'étais pas posé la question de l'existence d'un port pour windows alors que j'avais cherché d'autres solutions, merci d'avoir soulevé la question :P )

Il y aura peut-être un problème avec le ifconfig ou peut-être qu'on n'en a pas besoin (d'ailleurs je n'ai jamais compris pourquoi ipfw a besoin que l'ip soit locale).

A suivre...

Gohu

Oui je sais mais avant de lancer une petite recherche google (surtout que j'etais sur mobile) je voulais savoir si tu t'etais posé la question

Labo

Sinon, tu faisais comment pour rediriger la connexion, toi ?

Gohu

Moi je suis en full socket donc la question se posait pas avant la nouvelle securité et maintenant je me pose de plus en plus de questions mais bon il y a toujours le risque que ils vous foutent une co ssl tls et la le mitm est mort aussi

Labo

Non, ça m'étonnerait qu'ils se fassent chier à mettre du ssl, vu que de toutes façons, une injection pourrait enlever le cryptage au niveau du client (enfin je m'y connais pas trop, mais ça doit être faisable) et on n'a plus qu'à implémenter en 3 lignes le cryptage ssl avec la clé publique du serveur au niveau du MITM.

Gohu

impossible http://fr.wikipedia.org/wiki/Transport_Layer_Security

"une injection pourrait enlever le cryptage au niveau du client" -> oui mais le client ne comprendrait plus rien donc ca serait inutile

Labo

Ben dans ce cas on enlève aussi le décryptage, non ? Je m'y connais pas trop...

Sorrow, si tu passes par ici...

Gohu

Pas vraiment besoin de sorrow pour voir ceci sur le wiki:

Cliquez pour révéler Cliquez pour masquer

TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants :

l'authentification du serveur ;

la confidentialité des données échangées (ou session chiffrée) ;

l'intégrité des données échangées ;

de manière optionnelle, l'authentification ou l'authentification forte du client avec l'utilisation d'un certificat numérique ;

la spontanéité, c'est-à-dire qu'un client peut se connecter de façon transparente à un serveur auquel il se connecte pour la première fois ;

la transparence, qui a contribué certainement à sa popularité : les protocoles de la couche d'application n'ont pas à être modifiés pour utiliser une connexion sécurisée par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte à un schème http ou https.

Labo

Même en admettant que le protocole n'a pas de failles, le client peut en avoir...

Gohu

Je suis pas vraiment d'accord. Prennons l'exemple de l'authentification effectuée grace à l'algo RSA. C'est comme si tu disait que "Meme en admettant que RSA est infaillible (en tous cas avec nos moyen logistiques)" le client qui effectue le cryptage RSA lui est failble et donc on pourrait réussir a avoir les credentials de quelqu'un en sniffant son reseau? Tu vois ce que veux dire?

Aussi meme si le client a une faille, le protocole est le protocole donc si tu change le parsing du client des paquets n'auront plus de sens pour le serveur qui ne pourra plus répondre. Dans tous le cas il n'y a pas vraiment de moyen de faire un MITM sur un co ssl tls

En espérant avoir été assez claire x)

Dans tous les cas cela reste un bon tuto

Labo

Quand j'ai dit que le client avait des failles, je ne parlais pas de l'implémentation du protocole, mais du fait qu'il peut être décompilé (je ne parle plus d'injection parce que j'y connais rien).

Ainsi, rien n'empêcherait qu'on vire tout simplement le ssl.

On aurait ainsi :

client modifié <-tcp-> MITM <-ssl-> serveur

Je vois pas ce qui cloche...

Merci :D

Gohu

Comment veux tu recompiler le swf de dofus ? Il comporte une centaine de fonctions complètement obfusquées et meme si Sorrow a tenté de les deobfusquer. Meme si il a fait un super travail j'ai tenté par tous le moyens de recompiler le client et rien n'y fait (j'ai beaucoup essayer de modifier le client pour le RawDataMessage donc je pense etre assez callé la dessus)

Labo

Euh injection ?

Bon, bref, en tous cas, s'il y a une possibilité, ce sera au niveau du client, ou alors il faudra récupérer d'une façon ou d'une autre la clé privée de Ankama.

Gohu

Je viens aussi de penser au fait que si tu modifie le client deja c'est assez peut portable comme solution. Par portable j'entends le fait que pour diffuser ton programme ca devient assez tendu surtout que tu dois bypass le client pour pas que il mette a jour le swf modifié et le remette comme neuf. Aussi si tu modifies le client tu ne pourra plus utiliser le jeu que pour ton mitm et a chaque fois que tu voudra jouer de façon 'legit' ca va encore être la galère.

Tu parlais aussi d'injection, l'injection (de ce que je connais) permet de modifier certaines variables du code que tu reverse mais pas d'inhiber du code. Tu as aussi mentionner le fait que l'on essaye de trouver la clef privée de ankama. J'en reviens à mon exemple du RSA, c'est un peut comme si tu essayais de trouver la clef privée de facebook. Meme si les deux sociétés n'ont pas la meme envergure, je doute que tu puisse trouver la clef de ankama sur le net...

Labo

Pour le premier paragraphe, je suis d'accord, ça serait chaud. On pourrait quand même proposer une option du MITM pour jouer legit.

Pour la clé privée, je parlais en effet de pirater un serveur. Mais ça serait inefficace s'ils changeaient de clé tous les jours.

En attendant, ce qui les "gêne" le plus, c'est les bots sockets, et donc je pense pas que le ssl soit leur prorité...

Gohu

Pas faut mais le risque 0 n'existe pas

Moonlight-Angel

Ce qui les gênent le plus, c'est pas les bots socket. C'est les bots socket chinois. Les autres, ils s'en foutent, ils aimeraient même les garder, mais s'ils virent les chinois, les autres partiront avec (bawai, t'peux pas test un chinois !).

Labo

Jamais compris cette histoire de bots chinois...

C'est juste un bot socket bien fait utilisé depuis des serveurs en Chine qui revendent des kamas, non ?

Donc on peut le ban pareil, non ?

De toutes façons, tant qu'ils programmeront en AS, les bots sockets existeront !

Page suivante »