tfm secrets leaker

ยูทิลิตี้สำหรับการได้รับความลับที่เก็บไว้ภายในไคลเอนต์ Transformice

ในการสร้างคุณควรใช้ไฟล์ asconfig.json เพื่อรวบรวมไฟล์ TFMSecretsLeaker.swf สามารถทำได้ด้วย VSCODE-AS3MXML หรือ ASCONFIGC

คุณจะต้องวางไฟล์ SWC สำหรับไลบรารีต่อไปนี้ภายใต้โฟลเดอร์ lib ในระดับเดียวกับไฟล์ asconfig.json :

• AS3Commons-bytecode-1.1.1
• AS3Commons-Lang-0.3.7
• AS3Commons-Reflect-1.6.4

หากคุณต้องการช่วยตัวเองให้ยุ่งยากก็มี SWF ที่สร้างไว้ล่วงหน้าในการเผยแพร่ของ repo นี้

เมื่อเรียกใช้ไฟล์ SWF ที่สร้างขึ้นมันจะ trace ความลับที่ได้รับ สิ่งเหล่านี้สามารถดูได้ในบางสิ่งเช่น FFDEC แม้ว่าจะมีสคริปต์ leak-secrets.py ที่เป็นประโยชน์อีกด้วยเพื่อให้ได้ผลลัพธ์โดยใช้โปรเจ็กต์ดีบั๊กแบบสแตนด์อโลนซึ่งใช้เช่นนั้น:

 ./leak-secrets.py <path/to/TFMSecretsLeaker.swf>

เมื่อเรียกใช้ SWF หน้าต่างจะปรากฏขึ้นในช่วงเวลาสั้น ๆ ดูเหมือนว่าจะเริ่มโหลดเกมแล้วออก นี่เป็นเรื่องปกติ

น่าเสียดายที่นี่ไม่สามารถใช้งานได้กับ ruffle ในปัจจุบันเนื่องจากไม่ได้ใช้ fscommand("quit") ในปัจจุบัน

โปรโตคอลเครือข่ายของ Transformice ใช้ความลับที่มีการเปลี่ยนแปลงบ่อยครั้งซึ่งมีอยู่ภายในไคลเอนต์ ทุก ๆ ห้านาทีหรือมากกว่านั้น SWF หลักที่แตกต่างกันจะให้บริการสำหรับเกมเปลี่ยนความลับของฮาร์ดโค้ดเหล่านี้ส่วนใหญ่ ดังนั้นจึงจำเป็นต้องมียูทิลิตี้แบบไดนามิกเพื่อรับความลับเหล่านี้โดยอัตโนมัติเนื่องจากพวกเขาเปลี่ยนบ่อยเกินไปที่จะได้รับด้วยตนเอง

ความลับเหล่านี้รวมถึง:

• ที่อยู่เซิร์ฟเวอร์
  • นี่คือที่อยู่ของเซิร์ฟเวอร์ที่ไคลเอนต์เชื่อมต่อกับ การเปลี่ยนแปลงและการเปลี่ยนแปลงนี้มีการเปลี่ยนแปลง แต่ไม่บ่อยพอที่ฉันคิดว่ามันอาจเป็นไปได้และค้นพบใหม่ด้วยตนเองเมื่อมันเปลี่ยนไป
• พอร์ตเซิร์ฟเวอร์
  • พอร์ตของเซิร์ฟเวอร์ที่ไคลเอนต์สามารถเชื่อมต่อได้ สิ่งเหล่านี้กับความรู้ของฉันไม่เคยเปลี่ยนแปลง แต่ในทางทฤษฎีพวกเขาสามารถทำได้และเราสามารถรายงานพวกเขาและดังนั้นเราจึงทำ ไคลเอนต์จะสุ่มสลับพอร์ตเหล่านี้จากนั้นพยายามเชื่อมต่อกับพวกเขาตามลำดับย้ายไปยังพอร์ตถัดไปหากการเชื่อมต่อไม่ประสบความสำเร็จ
• เวอร์ชันเกม
  • นี่คือสิ่งที่เกมแสดงที่มุมล่างขวาของหน้าจอเข้าสู่ระบบแสดงข้อความเช่น 1.740 เวอร์ชันเกมที่รายงานนี้เป็นองค์ประกอบ 740 ของสิ่งนั้นและถูกส่งในแพ็คเก็ต Handshake ที่ไคลเอนต์ส่งไปยังเซิร์ฟเวอร์ สิ่งนี้ไม่เปลี่ยนแปลงบ่อยเท่าที่ความลับอื่นทำ
• โทเค็นการเชื่อมต่อ
  • นี่คือชุดอักขระแบบสุ่มซึ่งถูกส่งในทำนองเดียวกันในแพ็คเก็ต Handshake ฉันเชื่อว่ามันใช้โดยเซิร์ฟเวอร์เพื่อระบุว่าค่าที่คาดหวังของความลับอื่น ๆ ควรเป็นอย่างไร
• คีย์ Auth
  • หลังจากไคลเอนต์ส่งแพ็กเก็ต Handshake ไปยังเซิร์ฟเวอร์เซิร์ฟเวอร์จะตอบกลับด้วยแพ็กเก็ตที่มี "โทเค็น Auth Auth" นี่คือจำนวนเต็มที่ใช้อีกครั้งเมื่อไคลเอนต์ส่งแพ็คเก็ตเข้าสู่ระบบ ไคลเอนต์ XOR เป็นโทเค็น Auth Auth ด้วย "คีย์ Auth" hardcoded ส่งผลให้โทเค็นเข้ารหัสซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์ในแพ็คเก็ตเข้าสู่ระบบ
• แหล่งคีย์แพ็คเก็ต
  • แพ็คเก็ตบางอย่างภายในโปรโตคอลเครือข่ายของ Transformice ได้รับการเข้ารหัสเช่นแพ็คเก็ตเข้าสู่ระบบ ตัวเลขเฉพาะแตกต่างกันไปต่อแพ็กเก็ต แต่คีย์ที่ใช้นั้นได้มาจากอาร์เรย์ของจำนวนเต็มที่เรียกว่า "แหล่งคีย์แพ็กเก็ต" จำนวนเต็มเหล่านี้รวมกับชื่อคีย์เช่น "การระบุ" เพื่อรับคีย์จริงที่ใช้ในการเข้ารหัสแพ็กเก็ต
• เทมเพลตการตรวจสอบไคลเอนต์

  • ไม่นานหลังจากที่ไคลเอ็นต์และเซิร์ฟเวอร์ Handshake เสร็จสมบูรณ์เซิร์ฟเวอร์จะส่งแพ็กเก็ตไปยังไคลเอนต์เพื่อให้แน่ใจว่าไคลเอนต์นั้นเป็นทางการและเหมาะสม (เช่นไม่ใช่บอท) แพ็คเก็ตนี้มี "โทเค็นการตรวจสอบ" (จำนวนเต็ม) ซึ่งลูกค้าจะใช้ในการตอบกลับ ไคลเอนต์จะตอบกลับด้วยแพ็กเก็ตที่มีเข้ารหัสโดยใช้อัลกอริทึม XXTEA พร้อมโทเค็นการตรวจสอบที่แปลงเป็นสตริงเป็นชื่อสำหรับคีย์ ข้อมูลแพ็คเก็ต (plaintext) จะเริ่มต้นด้วยโทเค็นการตรวจสอบและจากนั้นฟิลด์กึ่งสุ่มบางส่วนและมีการตรวจสอบโทเค็นการตรวจสอบอีกครั้งในท่ามกลางมัน สิ่งนี้ดูเหมือนจะไม่เปลี่ยนแปลงบ่อยเท่าความลับอื่น ๆ แต่มันเปลี่ยนไป

    สิ่งที่รายงานนี้คือสตริง hex ที่แสดงถึงสตริงของไบต์ของตัวอักษรธรรมดาของแพ็คเก็ตนี้ (ใน Python สิ่งที่คุณสามารถใช้ bytes.fromhex บน) ในสถานที่ที่โทเค็นการตรวจสอบควรไปใช้ aabbccdd และควรถูกแทนที่ด้วยโทเค็นการตรวจสอบที่แท้จริง

เกม Atelier 801 อื่น ๆ มีโครงสร้างที่คล้ายกันมากในการแปลงสภาพและดังนั้นยูทิลิตี้นี้จึงสามารถรองรับเกมต่อไปนี้:

• การเปลี่ยนรูป
• เขาวงกตที่ตายแล้ว
• สิ่งที่ดี
• คนเนยก์
• ป้อมปราการ

Transformice และ Dead Maze เป็นเกมเดียวที่มีเทมเพลตการตรวจสอบลูกค้า และสำหรับคนอื่น ๆ จะไม่มีการตรวจสอบเทมเพลตการตรวจสอบลูกค้า

เพื่อให้ได้ความลับในเกมเฉพาะชื่อของมันควรจะถูกส่งไปยังพารามิเตอร์ตัวโหลด game ตัวอย่างเช่นนี่คือวิธีที่คุณจะทำเช่นนั้นโดยใช้สคริปต์ leak-secrets.py สคริปต์:

 ./leak-secrets.py path/to/TFMSecretsLeaker.swf?game=transformice

./leak-secrets.py path/to/TFMSecretsLeaker.swf?game=deadmaze

./leak-secrets.py path/to/TFMSecretsLeaker.swf?game=bouboum

./leak-secrets.py path/to/TFMSecretsLeaker.swf?game=nekodancer

./leak-secrets.py path/to/TFMSecretsLeaker.swf?game=fortoresse

หากไม่มีการจัดหาพารามิเตอร์ game ยูทิลิตี้จะเริ่มต้นเป็นความลับของ Transformice ที่รั่วไหล