Вскрываем привязку чита WinX Private в одну строчку

Сегодня мы с вами вскроем привязку достаточно популярного чита для Counter-Strike: Global Offensive — WinX Private.

Данная статья появилась ввиду просьбы моего знакомого «поковырять» привязку на предмет уязвимостей.

Анализ
Для начала нам необходимо понять, как работает привязка. Запускаем Wireshark.

Надеюсь вы уже работали с Wireshark, т. к. объяснять основы не очень хочется.

Запускаем наш приватный чит

Вводим рандомные данные — я ввел admin / admin.

Естественно, прилетела ошибка. Но на этом шаге мы узнали с вами кое-что интересное:

Адрес сервера, на который летят данные при авторизации. Разберем их.

Параметр Описание
user логин пользователя
pass пароль пользователя
security неизвестно
hwid hardware id — псевдо-уникальный идентификатор компьютера
version версия чита

Помимо этого, мы с вами узнали, что чит периодически отправляет этот запрос для перепроверки авторизации.

Так-же методом тыка было выяснено, что при успешной авторизации сервер отвечает hwid’ом.

Отсюда и периодично повторяющаяся авторизация — если другой пользователь на другой машине запустит чит, то hwid на сервере изменится и при ближайшей авторизации прошлого пользователя выкинет из программы.

Пишем фейковый сервер

На самом деле название слишком громкое — в итоге всё уместится в одну строчку.

Веб-сервер

Для начала нам необходим веб-сервер. Я использую Denwer.
Поднимаем, создаем внутри сервера домен ezcheats.ru

Обработчик

Собственно сам ответ нашего фейкового сервера авторизации
Создаем директорию /private/ и внутри неё скрипт form60.php:

<?php  echo $_GET[“hwid”]; ?>

Всё. Я серьезно. Мы просто отвечаем читу hwid’ом, который он нам только что прислал.

Как видим, чит успешно авторизовался и нашел запущенную CS:GO.

Информация предоставлена для ознакомления.

Поделиться
Отправить
Запинить
2016   Реверс