Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[MITM] Problème de connexion .

zahid98

Bonjour à tous , j'ai remarqué , qu’après la dernière mise à jour de Dofus , L'adresse ip du 42 prend une valeur bizzare "13.248.126.87� @t��e+9j��:��BX��Ln��o��%�" . En premier lieu j'ai cru que c'était un décalage , la deserialize était parfait , de même pour le ReadVarUhShort , serait-il un cryptage ? j'ai bien fouillé les sources , aucune trace de cryptage :roll:

Deserialize :


public override void Deserialize(ICustomDataReader reader)
{

            byte flag1 = reader.ReadByte();
            ssl = BooleanByteWrapper.GetFlag(flag1, 0);
            canCreateNewCharacter = BooleanByteWrapper.GetFlag(flag1, 1);
            serverId = reader.ReadVaruhshort();
            if (serverId < 0)
                throw new Exception("Forbidden value on serverId = " + serverId + ", it doesn't respect the following condition : serverId < 0");
            address = reader.ReadUTF();
            port = reader.ReadUShort();
            if (port < 0 || port > 65535)
                throw new Exception("Forbidden value on port = " + port + ", it doesn't respect the following condition : port < 0 || port > 65535");
            ticket = reader.ReadUTF();
            

}

ReadVarUhShort func.


   public short ReadVarshort()
        {
            int retVal = 0;
            int processed = 0;
            bool finished = false;
            while (processed < CustomDataConst.SHORT_SIZE)
            {
                byte tempon = this.ReadByte();
                finished = (tempon & CustomDataConst.MASK_10000000) == CustomDataConst.MASK_10000000;
                if (processed > 0)
                {
                    retVal = retVal + ((tempon & CustomDataConst.MASK_01111111) << processed);
                }
                else
                {
                    retVal = retVal + (tempon & CustomDataConst.MASK_01111111);
                }
                processed = processed + CustomDataConst.CHUNCK_BIT_SIZE;
                if (!finished)
                {
                    if (retVal > CustomDataConst.SHORT_MAX_VALUE)
                    {
                        retVal = retVal - CustomDataConst.UNSIGNED_SHORT_MAX_VALUE;
                    }
                    return (short)retVal;
                }
            }
            throw new Exception("Too much data");
        }

BlueDream

Il n'y a eu aucun changement au niveau de l'adresse ip, ils ont juste supprimé la variable ssl et passé le ticket en liste de byte qui est désormais crypté en aes.

zahid98

Ils ont supprimé le ssl ? mais je l'ai toujours sur les sources fraîchement dé-compilées oO .

Mais je pense pas que ça vas provoquer un décalage puisque le ReadByte est toujours là ...

PS : je croîs que tu te trompes , je viens de check , la variable ssl est toujours dans les sources ^^" .

BlueDream

C'est ce qu'il me semblait, je vérifie ce soir.

BlueDream

Après vérification, il n'y a plus de variable ssl.

Voici la fonction AS3:

Cliquez pour révéler Cliquez pour masquer

public function deserializeAs_SelectedServerDataMessage(param1:ICustomDataInput) : void
      {
         var _loc4_:* = 0;
         this.serverId = param1.readVarUhShort();
         if(this.serverId < 0)
         {
            throw new Error("Forbidden value (" + this.serverId + ") on element of SelectedServerDataMessage.serverId.");
         }
         else
         {
            this.address = param1.readUTF();
            this.port = param1.readUnsignedShort();
            if(this.port < 0 || this.port > 65535)
            {
               throw new Error("Forbidden value (" + this.port + ") on element of SelectedServerDataMessage.port.");
            }
            else
            {
               this.canCreateNewCharacter = param1.readBoolean();
               var _loc2_:uint = param1.readVarInt();
               var _loc3_:uint = 0;
               while(_loc3_ < _loc2_)
               {
                  _loc4_ = param1.readByte();
                  this.ticket.push(_loc4_);
                  _loc3_++;
               }
               return;
            }
         }
      }

Tu lis la variable ssl alors que ce n'est pas nécessaire, et puis l'ordre de lecture n'est pas du tout le bon.

Tu n'as même pas besoin de passer par le BooleanByteWrapper, fais juste un ReadBoolean().

Et n'oublis pas de changer le Ticket en ReadBytes.

zahid98

Merci , mais je sais pas pourquoi mon décompiler m'a fait ça :s .

zahid98

C'est bon j'ai trouvé de quoi ça provenait , JPEX décompiler avait une option qui sauvegarde la dernière décompilation , fallait juste cliquer sur "Recharger" , encore merci Mr l'admin :mrgrenn: .

Nicogo

Désolé du "up" mais j'ai un peux le même soucis que toi, Comment à tu eu les sources là alex ?

Moi j'ai "ticket ReadUtf et serverID ReadShort"(donc encodé sur 2byte) alors qu'après test ServerID est encodé sur un byte et Ticket est une list de byte..

Cliquez pour révéler Cliquez pour masquer

Donc le code vb.net MARCHE mais après modification (VarShort et ListOfByte), et j'ai peur d'avoir d'autres packets concerné ..

Si quelqu'un sais d'ou ça vient :?:

EDIT : C'est moi qui suis attardé mental, Dofus n'est plus installé dans c:/ProgramFiles ....

zahid98

Voilà les IO d'alex : https://github.com/BlueDream4/Dofus-2.27-IO .

Et voilà le deserialize du 42 :

public override void Serialize(ICustomDataWriter writer)
{
            writer.WriteVaruhshort(serverId);
            writer.WriteUTF(address);
            writer.WriteUShort(port);
            writer.WriteBoolean(canCreateNewCharacter);
            writer.WriteVarint((int)(ushort)ticket.Length);
            foreach (var entry in ticket)
            {
                 writer.WriteSByte(entry);
            }
}

public override void Deserialize(ICustomDataReader reader)
{

            serverId = reader.ReadVaruhshort();
            if (serverId < 0)
                throw new Exception("Forbidden value on serverId = " + serverId + ", it doesn't respect the following condition : serverId < 0");
            address = reader.ReadUTF();
            port = reader.ReadUShort();
            if (port < 0 || port > 65535)
                throw new Exception("Forbidden value on port = " + port + ", it doesn't respect the following condition : port < 0 || port > 65535");
           canCreateNewCharacter = reader.ReadBoolean();
			var limit = (ushort)reader.ReadVarint();
            ticket = new sbyte[limit];
            for (int i = 0; i < limit; i++)
            {
                 ticket = reader.ReadSByte();
            }
            

}

Et pour le ReadUnsignedByte , je pense que c'est de la que proviens ton problème , car le ticket peut contenir des SBytes . de même pour les Write .

Astro

Bonsoir, je post sur ce topic pour éviter d'en créer un pour ça.

Je souhaite décrypter le ticket reçu dans le packet SelectedServerDataMessage, mais je ne trouve pas d'information supplémentaire là-dessus sur le forum et ne sais pas où chercher dans les sources (car il n'y a rien de spécial dans les paquets).

Est-ce que je pourrai être aiguillé svp ?

DeepSiderZ

Le ticket est crypté en AES 256, regarde du coté de ServerSelectionFrame

Astro

Merci, cependant je reste perplexe car je suis remonté de ServerSelectionFrame à l'AuthentificationManager et vu que l'AESKey est généré par le client aléatoirement :

J'ai sniffé tout les paquets sortants depuis la connexion mais aucun paquet n'envoi cette clé au serveur.. ?

Cliquez pour révéler Cliquez pour masquer

case param1 is SelectedServerDataMessage:
_loc6_ = param1 as SelectedServerDataMessage;
ConnectionsHandler.connectionGonnaBeClosed(DisconnectionReasonEnum.SWITCHING_TO_GAME_SERVER);
this._selectedServer = _loc6_;
_loc7_ = Crypto.getCipher("simple-aes256-cbc",AuthentificationManager.getInstance().AESKey,new NullPad());
AuthentificationManager.getInstance().AESKey.position = 0;
_loc8_ = new ByteArray();
_loc8_.writeBytes(AuthentificationManager.getInstance().AESKey,0,16);
_loc21_ = 0;
while(_loc21_ < _loc6_.ticket.length)
{
   _loc8_.writeByte(_loc6_.ticket[_loc21_]);
   _loc21_++;
}
_loc7_.decrypt(_loc8_);
AuthentificationManager.getInstance().gameServerTicket = _loc8_.toString();
PlayerManager.getInstance().server = Server.getServerById(_loc6_.serverId);
return true;

Cliquez pour révéler Cliquez pour masquer

public function initAESKey() : void
{
   this._AESKey = this.generateRandomAESKey();
}

Cliquez pour révéler Cliquez pour masquer

private function generateRandomAESKey() : ByteArray
{
   var _loc3_:* = true;
   var _loc4_:* = false;
   var _loc1_:ByteArray = new ByteArray();
   §§push(0);
   if(!_loc3_)
   {
      §§push((§§pop() * 55 - 1 - 32) * 74 * 3 + 1 - 1);
   }
   var _loc2_:* = §§pop();
   if(!_loc4_)
   {
      while(_loc2_ < AES_KEY_LENGTH)
      {
         §§push(_loc1_);
         §§push(_loc2_);
         §§push(Math);
         §§push(Math.random());
         §§push(256);
         if(_loc4_)
         {
            §§push(-(-(§§pop() - 1 + 14 + 1) - 47) + 1);
         }
         §§pop()[§§pop()] = §§pop().floor(§§pop() * §§pop());
         if(!_loc4_)
         {
            _loc2_++;
         }
      }
   }
   return _loc1_;
}

DeepSiderZ

Quand tu sérialise l'IdentificationMessage, dans les credentials tu dois écrire la clef AES de 32 bytes générée aléatoirement. C'est dans ce paquet que tu la transmet au serveur.

Dans le SelectedServerDataMessage (ou le SelectedServerDataExtendedMessage, ça revient au même) tu recoit une IP et un port (celle et celui du serveur de jeu), ainsi que le ticket de connection crypté grâce à la clef AES 256. Tu dois t'y connecter et à travers le AuthenticationTicketMessage, tu transmet le ticket décrypté.

Astro

D'accord, j'ai pas précisé mais je suis en MITM donc l'IdentificationMessage ce n'est pas moi qui le sérialise.. Je ne peux donc pas extraire la clef des credentials ?

DeepSiderZ

Si tu es en MITM quel est le problème ? Pour récupérer le ticket décrypté tu as juste à lire le paquet AuthenticationTicketMessage que le client envoi au serveur.

BlueDream

Exact, c'est compliqué de récupérer la aesKey via le credentials, le plus simple reste le AuthentificationTicketMessage

Astro

D'accord merci de votre aide.

C'était pour coller au protocole de connexion de Rebirth qui se baser sur l'ancienne version du ticket (pas crypté) mais tant pis :)

Labo

En fait, il vaudrait mieux créer un nouveau topic…

En plus, pour une question pareille… Lis mon tuto.

Astro

J'y penserai la prochaine fois alors.

Quel rapport avec ton tuto ? Je voulais savoir si je pouvais décrypter le ticket avant de recevoir l'AuthentificationTicketMessage alors que je suis en MITM.

BlueDream

Si tu arrives a récupérer la aesKey, oui.

Page suivante »