Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Retro] Analyser paquets facilement

AzureHaze

Bonjour à tous, je voulais vous partager ma technique pour recupérer les paquets échangés entre le client retro et le serveur pour pouvoir analyser le protocole plus facilement et sans besoin d'injecter une dll, si vous souhaitez créer des bots (similaire à la commande /netlog de mon client modifié). J'utilise la bibliothèque Blackbone (https://github.com/DarthTon/Blackbone) pour hook les api WSASend, recv et connect.


#include "../lib/Blackbone/src/BlackBone/Process/Process.h"
#include <WS2tcpip.h>
#include <iostream>

#pragma comment(lib, "Ws2_32")

void ApplyHooks(blackbone::Process& proc)
{
    static HANDLE hStdOut = GetStdHandle(STD_OUTPUT_HANDLE);
    static SOCKET socket = NULL;

    auto pSend = proc.modules().GetExport(L"Ws2_32.dll", "WSASend");
    auto pRecv = proc.modules().GetExport(L"Ws2_32.dll", "recv");
    auto pConnect = proc.modules().GetExport(L"Ws2_32.dll", "connect");

    proc.hooks().Apply(blackbone::RemoteHook::eHookType::hwbp, pSend->procAddress, [](blackbone::RemoteContext& ctx){
        auto socket = ctx.getArg(0);
        auto lpBuf = ctx.getArg(1);
        auto nBuf = ctx.getArg(2);
     
        for (int i = 0; i < nBuf; i++)
        {
            auto currBuf = ctx.memory().Read<WSABUF>(lpBuf + i * sizeof(WSABUF)).result();
            if (currBuf.len > 3)
            {
                std::vector<char> msg(currBuf.len, 0);
                ctx.memory().Read(blackbone::ptr_t(currBuf.buf), currBuf.len - 2, (void*)msg.data());
                if (std::isalnum(msg[0]))
                {
                    SetConsoleTextAttribute(hStdOut, 14);
                    std::cout << socket << " > " << msg.data() << std::endl;
                    SetConsoleTextAttribute(hStdOut, 15);
                }
            }
        }
    });

    proc.hooks().Apply(blackbone::RemoteHook::eHookType::hwbp, pRecv->procAddress, [](blackbone::RemoteContext& ctx) {});
    proc.hooks().AddReturnHook(pRecv->procAddress, [](blackbone::RemoteContext& ctx) {
        if (auto len = ctx.getArg(2); len > 0)
        {
            auto socket = ctx.getArg(0);
            auto lpBuf = ctx.getArg(1);
            std::vector<char> msg(len, 0);
            ctx.memory().Read(blackbone::ptr_t(lpBuf), len, (void*)msg.data());
            if (std::isalnum(msg[0]))
            {
                for (auto rng : std::views::split(msg, '\0'))
                {
                    auto packet = std::string_view(&*rng.begin(), std::ranges::distance(rng));
                    if (packet.empty())
                        break;
                    std::cout << socket << " < " << packet.data() << std::endl;
                }        
            }
        }
    });
    proc.hooks().Apply(blackbone::RemoteHook::eHookType::hwbp, pConnect->procAddress, [](blackbone::RemoteContext& ctx) {
        auto socket = ctx.getArg(0);
        auto pSockAddr = ctx.getArg(1);
        auto addr = ctx.memory().Read<sockaddr_in>(pSockAddr).result();
        if (addr.sin_family == AF_INET)
        {
            char ip[1024]{ 0 };
            InetNtopA(addr.sin_family, (void*)&(addr.sin_addr), ip, std::size(ip));
            SetConsoleTextAttribute(hStdOut, 10);
            std::wcout << socket << L" [+] Connecting to " << ip << std::endl;
            SetConsoleTextAttribute(hStdOut, 15);
        }
    });
}

int main()
{
    auto pid = blackbone::Process::EnumByName(L"Dofus Retro.exe")[2];
 
    blackbone::Process proc;

    proc.Attach(pid);

    ApplyHooks(proc);

    for (;;) { Sleep(10); }
}

Superjudefruit

Salut AzureHaze, merci du partage, j'ai une petite question concernant la récupération du PID de l'instance d0fus

AzureHaze
auto pid = blackbone:process::EnumByName(L"D0fus Retro.exe")[2];

C'est pas un peu arbitraire ce que je vois dans le code ? Comment être sûr que c'est le bon process ? Le launcher Ank@ma en lance 8 pour chaque instances.

J'essaye de contourner la récente maj du launcher qui empêche de lancer le jeu directement.

Merci

Superjudefruit

AzureHaze


#include "../lib/Blackbone/src/BlackBone/Process/Process.h"
#include <WS2tcpip.h>
#include <iostream>

#pragma comment(lib, "Ws2_32")

void ApplyHooks(blackbone::Process& proc)
{
    static HANDLE hStdOut = GetStdHandle(STD_OUTPUT_HANDLE);
    static SOCKET socket = NULL;

    auto pSend = proc.modules().GetExport(L"Ws2_32.dll", "WSASend");
    auto pRecv = proc.modules().GetExport(L"Ws2_32.dll", "recv");
    auto pConnect = proc.modules().GetExport(L"Ws2_32.dll", "connect");

    proc.hooks().Apply(blackbone::RemoteHook::eHookType::hwbp, pSend->procAddress, [](blackbone::RemoteContext& ctx){
        auto socket = ctx.getArg(0);
        auto lpBuf = ctx.getArg(1);
        auto nBuf = ctx.getArg(2);
    
        for (int i = 0; i < nBuf; i++)
        {
            auto currBuf = ctx.memory().Read<WSABUF>(lpBuf + i * sizeof(WSABUF)).result();
            if (currBuf.len > 3)
            {
                std::vector<char> msg(currBuf.len, 0);
                ctx.memory().Read(blackbone::ptr_t(currBuf.buf), currBuf.len - 2, (void*)msg.data());
                if (std::isalnum(msg[0]))
                {
                    SetConsoleTextAttribute(hStdOut, 14);
                    std::cout << socket << " > " << msg.data() << std::endl;
                    SetConsoleTextAttribute(hStdOut, 15);
                }
            }
        }
    });

    proc.hooks().Apply(blackbone::RemoteHook::eHookType::hwbp, pRecv->procAddress, [](blackbone::RemoteContext& ctx) {});
    proc.hooks().AddReturnHook(pRecv->procAddress, [](blackbone::RemoteContext& ctx) {
        if (auto len = ctx.getArg(2); len > 0)
        {
            auto socket = ctx.getArg(0);
            auto lpBuf = ctx.getArg(1);
            std::vector<char> msg(len, 0);
            ctx.memory().Read(blackbone::ptr_t(lpBuf), len, (void*)msg.data());
            if (std::isalnum(msg[0]))
            {
                for (auto rng : std::views::split(msg, '\0'))
                {
                    auto packet = std::string_view(&*rng.begin(), std::ranges::distance(rng));
                    if (packet.empty())
                        break;
                    std::cout << socket << " < " << packet.data() << std::endl;
                }       
            }
        }
    });
    proc.hooks().Apply(blackbone::RemoteHook::eHookType::hwbp, pConnect->procAddress, [](blackbone::RemoteContext& ctx) {
        auto socket = ctx.getArg(0);
        auto pSockAddr = ctx.getArg(1);
        auto addr = ctx.memory().Read<sockaddr_in>(pSockAddr).result();
        if (addr.sin_family == AF_INET)
        {
            char ip[1024]{ 0 };
            InetNtopA(addr.sin_family, (void*)&(addr.sin_addr), ip, std::size(ip));
            SetConsoleTextAttribute(hStdOut, 10);
            std::wcout << socket << L" [+] Connecting to " << ip << std::endl;
            SetConsoleTextAttribute(hStdOut, 15);
        }
    });
}

int main()
{
    auto pid = blackbone::Process::EnumByName(L"Dofus Retro.exe")[2];

    blackbone::Process proc;

    proc.Attach(pid);

    ApplyHooks(proc);

    for (;;) { Sleep(10); }
}

Re Azure, du coup je rebondis sur ce topic suite à mes avancées.

Maintenant que j'arrive à me connecter en jeu via mon launcher émulé je me penche sur la meilleure façon de me positionner entre le client et le serveur de jeu.

De ce que j'ai lu sur le forum il y a plusieurs approches, mais étant novice je ne sais pas qu'elle approche est la meilleure?, plus safe? en gros je suis paumé.

Dans les différentes approches je crois qu'il y a l'injection d'une dll, une redirection via le config.xml avec un socket qui écoute sur le localhost. J'en oublie sûrement d'autres.

Est-ce que ta façon de faire avec Blackbone est une autre manière de faire ?

Vu qu'il n'y a pas vraiment de suivi des technos au fil des années c'est difficile de savoir quoi implémenter dans son bot sans réinventer la poudre.

Je tatonne et j'ai pas envie de commencer à coder un truc qui sera déjà obsolète car déjà détectable/risqué.

Vous en pensez quoi ?

khalzeus

Bien bro :)

Prayzer

:inlove:

AzureHaze

Superjudefruit

J'essaye de contourner la récente maj du launcher qui empêche de lancer le jeu directement.
Merci

Faut essayer d'émuler le launcher:

1288 > connect retro main -1 xxx

1288 < connected

1288 < connect xxx

1288 > auth_getGameToken xxx 101

1288 < auth_getGameToken yyy

AzureHaze

Oui tout à fait, j'ai simplement utilisé ProcessExplorer pour récuperer le processus avec des sockets ouverts et il s'avère que c'est toujours le 3ème

Sinon tu peux parcourir tous les processus et checker si il a une connection TCP avec un truc du genre:

    // on recupere toutes les connexions TCP
    auto pTcpTable = std::make_unique<MIB_TCPTABLE2>();
    ULONG dwSize = sizeof(MIB_TCPTABLE2);
    GetTcpTable2(pTcpTable.get(), &dwSize, TRUE);
    pTcpTable.release();
    auto pTcpTable2 = std::make_unique<MIB_TCPTABLE2[]>(dwSize);
    GetTcpTable2(pTcpTable2.get(), &dwSize, TRUE);

    for (auto pid : blackbone::Process::EnumByName(L"Dofus Retro.exe"))
    {
        blackbone::Process proc;
        proc.Attach(pid);
        for (int i = 0; i < pTcpTable2.get()->dwNumEntries; i++)
        {
            if (pTcpTable2.get()->table.dwOwningPid == proc.pid())
            {
                // notre processus a une connexion TCP ouverte
                std::cout << proc.pid() << " port: " << pTcpTable2.get()->table.dwLocalPort << std::endl;
            }
        }
    }

On retrouve bien notre processus (toujours le 3ème)

Superjudefruit

AzureHaze
Faut essayer d'émuler le launcher:
1288 > connect retro main -1 xxx
1288 < connected
1288 < connect xxx
1288 > auth_getGameToken xxx 101
1288 < auth_getGameToken yyy

C'est good j'ai réussis à émuler le launcher Ank@ma et ma connexion TCP se fait bien. Par contre je trouve pas le point d'entrée de l'API pour générer le token à renvoyer au client, ou alors je le génère aléatoirement ?

Mais j'ai quand même bien envie d'aller chercher la méthode utilisée par Ank@ma pour le générer… Tu en penses quoi ?

Merci,

SuperJudeFruit

AzureHaze

Cliquez pour révéler Cliquez pour masquer

haapi.ankama.com

, tu peux vérifier avec wireshark

Superjudefruit

Je l'avais trouvé entre temps mais merci beaucoup ☺️ puis ça aidera les autres

AzureHaze

Salut, pour moi le plus simple c'est de créer ton proxy mitm et rediriger le connect() vers celui-ci. Tu peux le faire de plusieurs manières, avec un remote hook ou via une dll injectée il te suffira juste de changer l'adresse de connexion pour pointer vers ton proxy. Ton proxy devra alors se connecter au serveur de jeu et faire communiquer les 2 sockets. Je ne suis pas sur de comprendre quel est ton but?

Superjudefruit

Salut Azure,

Merci pour la réponse

Mon but est de faire du mitm, Pour faire la connexion entre le client mon bot j'ai commencé à bidouiller une socket qui écoute sur le port 443 en localhost en modifiant mon config.xml (<connserver name="bot" ip="127.0.0.1" port="443" /> ) pour rediriger les client vers cette socket mais ça chope rien et dans wireshark je vois que le client s'en fiche royalement du config.xml (intermet m'a dit que peut-être que la technique du config.xml marchait plus).

Suite à cet échec, je voulais donc me tourner vers ta technique que tu décris dans ce post, mais blackbone est en c++ (utilisable en python aussi je crois via ctype) mais je dev en VB.net/C# et je ne trouve rien d'équivalent.

AzureHaze

J'ai jamais utilisé mais je crois qu'il y a EasyHook

Superjudefruit

Re Azure, merci pour easyHook ça m'a permis de trouver la lib Deviare (https://github.com/nektra/deviare2) qui est très bien documentée en plus d'avoir des exemples en VB.net de hook un peu partout sur le net.

Le quick start pour bien comprendre (C#): http://whiteboard.nektra.com/deviare-v-2-0/quickstart_v-2-0

La doc complète : https://www.nektra.com/products/deviare-api-hook-windows/

Si jamais ça peu aider quelqu'un d'autre

Bisous