zoukankan      html  css  js  c++  java

  • amf webgame

    一篇来自职业欠钱哥哥的东西,很有帮助。

    这两年WebGame比较火,WebGame中,前端用Flash表现比较多,而服务器端依然是Web应用。

    不少产品已经开始用AMF(Action Message Format)来取代标准的HTTP交互。(这里描述不严谨,因为AMF仍然是基于标准HTTP协议的,只不过用二进制的方式实现序列化和反序列化) 注1.

    使用二进制方式实现序列化的好处是数据会得到很好的压缩(对比一下XML、JSON等方式),但缺点是可读性比较差。

    我们不再敢奢望使用一个Sniffer从十六进制转换成ASCII码就可以清楚的了解发送了什么信息,获得了什么反馈了。

    来看一下AMF协议数据抓包的前后模样吧:

    上图是HTTP传输经过gzip压缩后的,直接用sniffer抓包后是没法直接阅读的。看看解压缩后的十六进制内容

    可读性已经大大提升了,在FireBug或者是HTTP Watch里可以看到一部分字符串,外加很多乱码,因为二进制内容有很多超出可显示范围的字符。比如下面这个样子:

    这时候,我们需要一个能够解析AMF协议的工具(或者是某些开发类库),来做这样的翻译工作。

    @CFC4N 同学给我推荐了一款神兵利器——Charles 。

    Charles 是一个HTTP代理服务器、,HTTP监视器、反转代理服务器。它允许一个开发者查看所有连接互联网的HTTP通信.这些包括request, response现HTTP headers (包含cookies与caching信息)。如果HTTP协议里包含了AMF数据,它会解析成人类看得懂的文本信息,并且允许你修改以后(下断点的情况)再发送,或者是简单的重放。

    看看在Charles下数据的原貌吧。

    一旦数据“明文化”,协议清晰了,安全问题也就随之而来了。

    还 记得那句”一切输入都是有害的”吧。

    现在我们只要在Charles中下好断点,在每个Request中,仔细端详每个参数,通过变量名猜测其含义和用途,修改值以后再送出。

    就可以测试很多以前我们轻车熟路的攻击套路了。

    以WebGame为例,我们可以做如下尝试:

    1. 任务: 反复做/交任务、乱序做任务(之前已做过的、还没接到的)

    与某个NPC对话/战斗,修改NPC的ID;修改任务ID乱序测试;重复提交任务完成信息;

    2. 战斗: 攻击、治疗效果是本地提交

    观察战斗过程中与服务器交互的数据,是否携带过程参数,如有,各种修改各种提交,超大值/负值/游戏里不存在的值/别人的值

    3. avatar属性:提交 几率合成性质的结果、绕过CD时间/数量限制提交

    几率性的内容往往也是现在游戏里价值最高的核心内容,一个脑残的“保存”设计可能就允许自己“随机”提交一个“几率性的结果”

    4. 交易系统: 负值/临界值提交、出售/撤销他人物品、自定义价格

    市场里明码标价的物品价格是否出现在购买请求封包中;挂售后取回的物品ID尝试修改为别人的物品ID看看;挂个价格为负数的物品自己买;挂售有最低价格限制?封包里想写多少我说了算;

    5. 副本、日常: 绕过次数限制、绕过流程提交最终结果

    游戏怕老玩家无聊,总会做一些每日都能进行的日常任务和副本,也往往有个次数限制,看看这个限制是不是纸老虎,抓了完成任务的数据包后重放就知道了;

    6. 社交系统: 添加自己为好友、发布富文本信息(伪装系统发言的格式、颜色)、绕过CD限制发言/发信

    只有系统公告和GM喊话才是彩色的?未必,在封包里把消息改为<font color=red>我是GM</font>看看;每次发言都要等待一段时间?看我封包的厉害

    当然,也包括了现代小黑黑们最擅长的SQL注入、畸形数据(D.O.S)攻击。

    上述所有的参数,都可以尝试修改为SQL注入语句,或者是十六进制不满足AMF规范协议的一个00,可能就会让服务端程序抛出一个异常,甚至直接crash掉。

    从偷懒的心理来说,但凡是有了一丁点儿的封装,就必然有一定数量的程序员会认为:这一堆乱七八糟的东西普通用户是看不懂的,没人能够随便修改,所以我也就不必对它们做小心翼翼的处理了。

    于是,越是表面上看起来复杂的东西,攻击起来的效果可能会更令人意想不到(在了解协议,将信息“明文化”,可自定义提交的场景中)。

    最后,AMF也已经有了不少类库可以直接识别、书写了,

    再加上Flash本身可以被SWF Decompiler之类的工具反编译(虽然看不到原始的代码,但基本的资源、变量名、AS脚本还是看的比较清楚的),那些做webgame脱机外挂的朋友应该是再熟悉不过了。

    所以,基于Flash+AMF+Web后台的WebGame,应该还有很大的发挥空间。

    参考资料:

    1. 伟大的@CFC4N同学,还有当初没看过AMF协议硬生生从十六进制摸索出了协议规律的neptune同学

    2. AMF  http://www.cnblogs.com/studyzy/archive/2008/04/09/1143685.html

    注解1. 关于序列化和反序列化

    我一直觉得那些专业的XX百科、XX WiKi,都是喜欢用专业术语解释专业术语,对小白用户来说,往往看2眼会更加不知所云。

    不过我相信,亲自操作过Charles之后,会对这个概念理解的很形象的。
  • 相关阅读:
    Re: 求助:5道算法题
    AutoComplete的字典建立和单词查找算法实现
    求教大牛!关于后缀树
    Qt OpenGL教程
    调试宏
    if结合errorlevel使用:判断一个DOS命令执行成功与否
    写给自己,关于对纯技术的追求,以及为了金钱与前途的技术追求
    <转>我对菜鸟成长的看法
    看完电影有感。。。。。
    <转>标准C++的类型转换符:static_cast、dynamic_cast、reinterpret_cast、和const_cast
  • 原文地址:https://www.cnblogs.com/axyz/p/5663944.html
Copyright © 2011-2022 走看看