VB/VB.Net Petite question concernant un MITM
- Auteur de la discussion 4R7Y
- Date de début
A
Exact.
Tu redirige les infos du client vers ton programme pour apres les envoyer au serveur.
Quand tu recoi les infos du serveur tu les renvois au client.
Tu peux envoyer n'importe quoi au client.
C'est exactement comme une emu.
Tu file l'ip du serveur au client apres le serveur peut te dire n'importe quoi.
Tu redirige les infos du client vers ton programme pour apres les envoyer au serveur.
Quand tu recoi les infos du serveur tu les renvois au client.
Tu peux envoyer n'importe quoi au client.
C'est exactement comme une emu.
Tu file l'ip du serveur au client apres le serveur peut te dire n'importe quoi.
c'est d'ailleur comme ca qu'on arrive a le faire marcher, on intercepte le message 42 qui vient du serveur => MITM => envoie d'un faux message 42 au client avec ip du serveur de jeu "127.0.0.1" (ip local) et donc le client se reconnecte en local au lieu de se reconnecter sur le serveur (c'est le bot du mitm qui se connecte au serveur avec l'ip du vrai message 42, comme un bot standart)
mais comme le dit lolo on peu agir que sur le client
c'est quoi cette histoire de shield ? ca bloque certaines choses ? mon compte de test ne doit pas avoir le shield puisque adresse mail farfelue et pourtant je fais tout ce qu'il est possible de faire en etant pas abo (j'ai jamais essayé d'etre abo sans shield , j'ai aussi boté avec un compte abo MAIS AVEC le shield , le probleme viendrait d'un compte abo sans shield ?)
mais comme le dit lolo on peu agir que sur le client
la faut etre concentré :
on peu agir sur le serveur aussi mais comme le fait un bot standart (donc comme le client officiel le fait puisqu'un bot essai de faire ce que le client officiel fait)
on peu agir sur le serveur aussi mais comme le fait un bot standart (donc comme le client officiel le fait puisqu'un bot essai de faire ce que le client officiel fait)
En fait tu recois un paquet lors de la selection du personnage qui contient un byte [Vrai] OU [Faux]
Dans le cas ou il est [Faux], ton compte à des actions limités.
Dans le cas ou il est [Vrai], tu fais ce que tu veux
Donc prenons l'exemple d'un compte ayant l'autorisation de se co sur un pc : on recoit
Donc techniquement, c'est le client qui est concerné, pas le serveur ? donc on pourrait fausser cette information
Dans le cas ou il est [Faux], ton compte à des actions limités.
Dans le cas ou il est [Vrai], tu fais ce que tu veux
Donc prenons l'exemple d'un compte ayant l'autorisation de se co sur un pc : on recoit
Code:
Serveur : Id=6267 Len=1 TrustStatusMessage
01je t'explique un peut mieux :
1er étape : tu tape dans démarré 'Exécuter'
2ème étape : %appdata%
3ème étape : tu a un dossier 'AnkamaCertificates'
4ème étape : dans se fichier contient tous les AnkaShield activé
5ème étape : tu copie tous se qui a dans le fichier 'AnkamaCertificates' de ta victime je vais utiliser se terme
6ème étape : tu colle dans 'tout c'est fichier' dans ton dossier 'AnkamaCertificates'
7ème étape : tu te connecte et pu de Ankama Shield.
Ps : les mots son saturé vient me parler sur skype.
1er étape : tu tape dans démarré 'Exécuter'
2ème étape : %appdata%
3ème étape : tu a un dossier 'AnkamaCertificates'
4ème étape : dans se fichier contient tous les AnkaShield activé
5ème étape : tu copie tous se qui a dans le fichier 'AnkamaCertificates' de ta victime je vais utiliser se terme
6ème étape : tu colle dans 'tout c'est fichier' dans ton dossier 'AnkamaCertificates'
7ème étape : tu te connecte et pu de Ankama Shield.
Ps : les mots son saturé vient me parler sur skype.
vous etes vilains ... vous etonnez pas que y'a des securités pour proteger les joueurs "honnetes" (enfin pas si honnetes que ca si ils telechargent des keyloggers c'est qu'ils cherchent a tricher mais c'est pas une raison pour voler leurs comptes et de pourrir astrub de flood) le "bon" forum pour ca c'est d. cheat
@tifoux : oui victime est le bon "terme" tu peux l'utiliser
@tifoux : oui victime est le bon "terme" tu peux l'utiliser
A
Désolé je m'incruste mais je ne pense pas que ce puisse être détourné. Je pense que le serveur garde un clé et qu'elle est copié sur le serveur. A la connexion on envoie le certif' il vérifie qu'il correspond et après le serveur vérifie toutes les actions en fonction de l'adresse ip. Donc à moi que ce soit aussi bien sécurisé que la Bourse à Ogr. il ne doit pas suffire de tromper le client mais aussi le serveur.