Domanda Crack gioco online

Ordina per data Ordina commenti per reazioni
Ĝ

~}ĜẪƧ{~™

Utente Electrum
12 Dicembre 2017
218
13
50
100
Salve ragazzi io ed un mio amico ci chiedavamo se si potesse craccare i soldi di un gioco chiamato agma.io
Abbiamo già cercato qualcosa in alcuni siti per giochi simili ma essendo un gioco online sta diventando una cosa assai complicata...
Pensavo che voi potevate darci qualche consiglio. Qualsiasi cosa consigliaste saremmo contenti di provarla perlomeno:D

Grazie in anticipo :) :myeah:
 
Di solito, per quanto riguarda i giochi online, non vengono trasferite le informazioni dal browser al server per modificare i dati.
Ciò significa che quello che vedete è a solo scopo illustrativo e che quindi non ha nulla a che vedere con la logica e i valori da modificare.

Per esempio:
Ammettiamo di avere una situazione in cui hai 5000 denari e devi fare un upgrade di un edificio che ne costa 2000.
Quando premi sul pulsante, viene detto al server di far salire di livello quell'edificio... e basta.
Sarà poi il backend che si occuperà di vedere quanti denari avete e quanto costa l'upgrade, voi riceverete soltanto il messaggio di upgrade in corso o di fondi insufficienti (o al limite del numero di upgrade simultanei).
Il vostro tentativo sarebbe fattibile qualora il vostro client inviasse i denari disponibili e i denari da scalare, in quel caso potreste inviare numeri diversi ed effettuare upgrade gratis o settare un numero maggiore di denari.

Spero di essere stato abbastanza esplicativo
 
  • Mi piace
Reazioni: ~}ĜẪƧ{~™ e thedoct0r
Dipende anche dal tipo di protezione, se hai tempo e pazienza ed un cervello che riesce a scovare i bug, nulla è impossibile. Certo che ormai molti game hanno sistemi anti cheat, con i valori criptati e sostituiti con double, float, 8bit è così via. Poi ci sono sistemi tipo modificando la libreria (.dll), potresti aumentare i punteggi, score e soldi (solo in alcuni game). Buona fortuna!
 
Kolo93 ha detto:
Si parla di ambiente web, cosa c'entra quello che stai dicendo?
Clicca per espandere...

Anche se parliamo di una discussione vecchia, mi sembra giusto comunque portare alla luce sistemi come PE. NON è vero che i giochi online non possono essere craccati, esistono migliaia di community che in background lavorano ai PackEditor. Se trovi la sequenza esadecimale corretta, è possibile sfruttare vari bug o addirittura far crashare il server! Ho vissuto queste cose in primis avendo avuto vari server aperti, e se avete giocato ai vecchi MMO allora sapete

Esempio:
 
Stiamo sempre parlando di cose diverse, un conto è un browser game e un altro un gioco con tanto di client dedicato.
Il funzionamento è diverso come anche il tipo di comunicazione tra client e server.

Per "hackerare" un browser game bisogna sperare che sia affetto da bug e che non sia fatto in flash (ma ormai flash ci ha quasi lasciato del tutto). Per quanto riguarda il primo caso, ce ne vuole davvero tanto per generare bug che ti permettano vantaggi di questo tipo (quasi devi farlo di proposito).

Per i giochi con client dedicati la questione è ben diversa.

Due classici esempi possono essere Ogame e Metin2, non credo ci sia bisogno di ulteriori spiegazioni in merito
 
Kolo93 ha detto:
Stiamo sempre parlando di cose diverse, un conto è un browser game e un altro un gioco con tanto di client dedicato.
Il funzionamento è diverso come anche il tipo di comunicazione tra client e server.

Per "hackerare" un browser game bisogna sperare che sia affetto da bug e che non sia fatto in flash (ma ormai flash ci ha quasi lasciato del tutto). Per quanto riguarda il primo caso, ce ne vuole davvero tanto per generare bug che ti permettano vantaggi di questo tipo (quasi devi farlo di proposito).

Per i giochi con client dedicati la questione è ben diversa.

Due classici esempi possono essere Ogame e Metin2, non credo ci sia bisogno di ulteriori spiegazioni in merito
Clicca per espandere...
Se esegui correttamente l'hooking del browser e riesci a capire la funzione di invioo, è fatta. Perchè il client sia un browser, non si può non definire client comunque, e tempo fa conoscevo un browser che era fatto apposta per queste cose. Certo diventa complesso fare reverse ect... parliamo di aree criptate ect... ma ciò che ha favorito la creazione di PE (come nel caso metin/last chaos) è stata la pubblicazione delle source, le quali consentono di trovare falle molto più facilmente (analizzando il codice è facile capire dov'è fragile). Per un browser game sarà sicuramente MOLOo complesso, ma non impossibile!
 
Hastro ha detto:
Se esegui correttamente l'hooking del browser e riesci a capire la funzione di invioo, è fatta.
Clicca per espandere...

Un gioco come Ogame è comunque un sito web normalissimo, cosa dovresti hookare? (sarebbe come cambiare il proprio nome su facebook senza usare le funzionalità che ti mettono a disposizione, è la stessa cosa)
Mica ci sono valori in memoria modificabili... forse ti stai confondendo con i giochini in flash (e ripeto, considera flash come un novantenne attaccato al respiratore e che la bolletta dell'elettricità non è stata pagata)

Hastro ha detto:
ma ciò che ha favorito la creazione di PE (come nel caso metin/last chaos) è stata la pubblicazione delle source, le quali consentono di trovare falle molto più facilmente (analizzando il codice è facile capire dov'è fragile).
Clicca per espandere...

Quei due giochi sono completamente diversi (non sono un sito web).
Il fatto di avere i sorgenti non per forza deve aiutare nella scoperta dei bug, potrebbe darsi che ti faccia capire che appunto quella funzionalità non è hackerabile.
Vedi l'opensource, i sorgenti ci sono... eppure...
 
Kolo93 ha detto:
Un gioco come Ogame è comunque un sito web normalissimo, cosa dovresti hookare? (sarebbe come cambiare il proprio nome su facebook senza usare le funzionalità che ti mettono a disposizione, è la stessa cosa)
Mica ci sono valori in memoria modificabili... forse ti stai confondendo con i giochini in flash (e ripeto, considera flash come un novantenne attaccato al respiratore e che la bolletta dell'elettricità non è stata pagata)



Quei due giochi sono completamente diversi (non sono un sito web).
Il fatto di avere i sorgenti non per forza deve aiutare nella scoperta dei bug, potrebbe darsi che ti faccia capire che appunto quella funzionalità non è hackerabile.
Vedi l'opensource, i sorgenti ci sono... eppure...
Clicca per espandere...
Assolutamente ne Metin ne LastChaos sono browser-game, infatti quest'ultimo era un discorso generale. Quello che volevo testimoniare io, è che c'è sempre più il mito di online=incraccabile, ma non è così!

Per i giochi online vi è comunque uno scambio di dati fra il browser e il server. Che questo avvenga per mezzo di un browser o di un client non è importante. Ad esempio, se invii un messaggio nella chat, questo dev'essere recepito da tutti e di conseguenza la stringa dev'essere condivisa con il server per poter essere vista da tutti. è più difficile fare hooking delle funzioni browser poichè ci sono aree private criptate ect ... tuttavia, puoi trovare dei browser fatti apposta.

Questo è un vecchio test che ho fatto su league of angels 3, ho usato il loro client ( ma bada bene, il loro client Garcade non è un vero client di gioco, semplicemente apre un browser interno e fa visualizzare quello che vedresti nella finestra del browser classico) ( e ho fatto vedere come si può replicare un messaggio bypassando il controllo lato client, a tutti gli effetti un attacco PE, non preoccupatevi so che è illegale e ne ho fatto subito report a Garcade, se serve condivido la mail del report! Questa testimonianza dimostra che se dovessi trovare il vero codice esadecimale, potrei replicare ad esempio la ricompensa di una missione (?))

Ho sempre amato gli opensource e tifato per loro, ma mi sono accorto che in un ambiente dove dietro non c'è una grande azienda, o un gruppo di programmatori ben coordinato, si finisce sempre hackerati o tirati giù ( a maggior ragione se parliamo di videogiochi come metin/LC con architettura Client/server, con source vecchie distribuite su larga scala e ormai forzatamente "open source").
 
Hastro ha detto:
Assolutamente ne Metin ne LastChaos sono browser-game, infatti quest'ultimo era un discorso generale. Quello che volevo testimoniare io, è che c'è sempre più il mito di online=incraccabile, ma non è così!
Clicca per espandere...
Non dico che il software non è affetto da bug ma che non puoi sfruttare le vulnerabilità allo stesso modo perchè funzionano diversamente.


Hastro ha detto:
Per i giochi online vi è comunque uno scambio di dati fra il browser e il server. Che questo avvenga per mezzo di un browser o di un client non è importante. Ad esempio, se invii un messaggio nella chat, questo dev'essere recepito da tutti e di conseguenza la stringa dev'essere condivisa con il server per poter essere vista da tutti. è più difficile fare hooking delle funzioni browser poichè ci sono aree private criptate ect ... tuttavia, puoi trovare dei browser fatti apposta.
Clicca per espandere...

Certo che c'è uno scambio di dati ma:
1) su questi giochi non ci sono possibilità in inserire un input personalizzato (anche volendo ci sono dei controlli sull'input)
2) puoi modificare i dati inviati all'API, non ci vuole niente e può farlo davvero chiunque (al posto di fare un upgrade dell'oggetto con ID 1 fai l'upgrade dell'oggetto con ID 3... tanto vale cliccare sull'altro bottone nella schermata)
3) le API sono adhoc, quindi vuol dire che non hai la possibilità di fare tutto quello che ti pare (Es. nessuno farà mai un'API in cui puoi settare direttamente il valore delle monete di un personaggio)
4) i dati del gioco sono disponibili all'utente solo in lettura

In ogni caso NON si parla assolutamente di cheating per come lo stiamo intendendo.
Non ci sono aree di memoria da modificare, non ci sono cose da decriptare per far vedere più monete... ci sono solo azioni che possono essere fatte e tutti i valori sono gestiti lato server.

Es.
Azione: fai l'upgrade dell'edificio con ID 1
Tu dici al server di fare questo, poi se la vede lui sulla fattibilità dell'operazione... Controlla se hai abbastanza monete a disposizione, se il tuo livello è adeguato per quello che vuoi fare, ecc...
Non sarai mai tu a dirgli di scalare 1 moneta al posto di 100000 o non sarai mai tu a dirgli che deve scalare quel costo da 10000000 di monete o da 50.

L'unica cosa che puoi sfruttare sono dei bug ma che difficilmente ti permettono di modificare questi valori, anche perchè se li gestisce interamente il server visto che aggiunge tot risorse ogni tot tempo.

Non confondere un normale sito web con un'applicazione desktop
 
Kolo93 ha detto:
Non dico che il software non è affetto da bug ma che non puoi sfruttare le vulnerabilità allo stesso modo perchè funzionano diversamente.




Certo che c'è uno scambio di dati ma:
1) su questi giochi non ci sono possibilità in inserire un input personalizzato (anche volendo ci sono dei controlli sull'input)
2) puoi modificare i dati inviati all'API, non ci vuole niente e può farlo davvero chiunque (al posto di fare un upgrade dell'oggetto con ID 1 fai l'upgrade dell'oggetto con ID 3... tanto vale cliccare sull'altro bottone nella schermata)
3) le API sono adhoc, quindi vuol dire che non hai la possibilità di fare tutto quello che ti pare (Es. nessuno farà mai un'API in cui puoi settare direttamente il valore delle monete di un personaggio)
4) i dati del gioco sono disponibili all'utente solo in lettura

In ogni caso NON si parla assolutamente di cheating per come lo stiamo intendendo.
Non ci sono aree di memoria da modificare, non ci sono cose da decriptare per far vedere più monete... ci sono solo azioni che possono essere fatte e tutti i valori sono gestiti lato server.

Es.
Azione: fai l'upgrade dell'edificio con ID 1
Tu dici al server di fare questo, poi se la vede lui sulla fattibilità dell'operazione... Controlla se hai abbastanza monete a disposizione, se il tuo livello è adeguato per quello che vuoi fare, ecc...
Non sarai mai tu a dirgli di scalare 1 moneta al posto di 100000 o non sarai mai tu a dirgli che deve scalare quel costo da 10000000 di monete o da 50.

L'unica cosa che puoi sfruttare sono dei bug ma che difficilmente ti permettono di modificare questi valori, anche perchè se li gestisce interamente il server visto che aggiunge tot risorse ogni tot tempo.

Non confondere un normale sito web con un'applicazione desktop
Clicca per espandere...
Comprendo il tuo discorso, ma credo che sia tu a fare confusione questa volta:

Un conto è un cheat un conto è un PackEditor.

Non posso modificare aree di memoria in modo che il gioco legga quella variabile locale(cheat), ma posso inviare al server l'input di successo di una missione(Packeditor), e se questo input va a buon fine, posso inviarlo all'infinito e ottenere la ricompensa della missione stessa all'infinito. La conseguenza è che se l'edificio con ID 1 non posso upgradarlo, poichè anche trovando il codice API corretto, il server verifica (lato server --> database) se ho fondi sufficienti, posso pur sempre generare fondi basandomi sul sistema di riscossione di una missione, e successivamente a fondi raggiunti upgradare il mio edificio ID 1

I packeditor non sfruttano bug, ma bensì dei sistemi di ricezione lato server non correttamente configurati ( ad esempio, nel caso sopra-citato, dovrebbe esistere una lista nel database con le missioni concluse, in modo che prima che venga consegnata una ricompensa il gioco verifica che la stessa non sia stata già consegnata).

Esistono milioni di sistemi per sfruttare i packeditor, e se si trovano bug e facile con un PE trasformarli in exploit.
 
Hastro ha detto:
Comprendo il tuo discorso, ma credo che sia tu a fare confusione questa volta:

Un conto è un cheat un conto è un PackEditor.

Non posso modificare aree di memoria in modo che il gioco legga quella variabile locale(cheat), ma posso inviare al server l'input di successo di una missione(Packeditor), e se questo input va a buon fine, posso inviarlo all'infinito e ottenere la ricompensa della missione stessa all'infinito. La conseguenza è che se l'edificio con ID 1 non posso upgradarlo, poichè anche trovando il codice API corretto, il server verifica (lato server --> database) se ho fondi sufficienti, posso pur sempre generare fondi basandomi sul sistema di riscossione di una missione, e successivamente a fondi raggiunti upgradare il mio edificio ID 1

I packeditor non sfruttano bug, ma bensì dei sistemi di ricezione lato server non correttamente configurati ( ad esempio, nel caso sopra-citato, dovrebbe esistere una lista nel database con le missioni concluse, in modo che prima che venga consegnata una ricompensa il gioco verifica che la stessa non sia stata già consegnata).

Esistono milioni di sistemi per sfruttare i packeditor, e se si trovano bug e facile con un PE trasformarli in exploit.
Clicca per espandere...

NO, non funziona così.
 
Hastro ha detto:
Hm... credo sia meglio lasciar perdere, è sempre funzionato così comunque ... mi bastava portare un testimonianza, evitiamo discussioni :D
Clicca per espandere...

Continui a confondere un sito web per un client di gioco desktop, sono due mondi completamente a parte e funzionano in modi differenti.
E poi a che serve un PackEditor quando basta aprire la console del browser per sapere cosa stai inviando?

Informati su cosa sono le API e su come funziona una connessione utilizzata da un client di gioco basata su socket e capirai le differenze.
 

DISCUSSIONI SIMILI

L
Domanda giocare in 2 su ps4
  • 1
  • 406
1
406
PlayStation
matteo di Pietro
E
Domanda Armadietto cancellato
  • 1
  • 313
1
313
Fortnite
Shini°
1
Domanda Risolto Wifi Hackerato e dopo?
  • Chiuso
  • 12
  • 1K
12
1K
Wi-Fi Hacking
0xbro
S
Discussione Server privati nel 2023
  • 2
  • 947
2
947
Nostale Server Privati
pvssygino
C
Domanda Rintracciare un giocatore
  • 2
  • 1K
2
1K
Battlefield
Cad81
Top Bottom
Indietro