Skip to content

Взлом flash ігор

Сьогодні розповім про те, як треба можна по-хакати флешові забавки.

Розмова піде не про декомпіляцію самого флеша, а лише перехоплення передачі даних, зокрема, як накрутити рейтинг (score).

Отже, беремо жертву: roofskeet.com. Тим більше, що в них конкурс і головний приз путівка в Париж. Але всі ми знаємо, що це все розвод і ніхто в цей халявний сир в мишоловці не вірить.

Що нам знадобиться?

  • прямі руки і трохи клепки
  • firefox + firebug
  • локальний сервак (apache) і курл на серваку (curl)


Проходимо реєстрацію, і авторизуємось.

Проводимо розвідку:


Ідемо по порядку.

Спочатку ініціалізується гра:


У відповідь ми получаєм айдішку гри.

Далі, флешка  відправляє (метод POST) на сервак результати гри:


і у відповідь получає номер в рейтингу:

Отже, щоб підчітерити – потрібно лише відправити на сервак свої дані, а не ті що повертає флешка.

Пишемо скрипт на php:

Поясню трохи:

  • реферера прописав – на всякий випадок, можливо в них “захист” на цьому побудований 🙂
  • user[game] – це номер гри, який ми получаєм при ініціалізації
  • user[level] – це рівень гравця, тут в них є перевірка (досліджено за допомогою методу наукового тику)
  • user[score] – це рейтинг який ми збираємось накрутити
  • user[token] – а цей хеш визначає юзера, мабуть записаний в базі навпроти імені зареєстрованого юзера.

Все 🙂

Конкурс закінчився, я був на першому місці, а приз так і не дали ссуки.

P.S.: Дана стаття по взлому флешових ігор написана виключно для ознайомлення з методами взлому і попередженню їх на етапі розробки ігор. За будь-які протизаконні дії кул хацкерів – я відповідальності не несу, але буду дуже вдячний за їх коменти і здорову критику.

4 Comments

  1. А ти не пробував мутити імітацію аяксовських запитів прямо із файрбага? Я редагував аксовські заптити прямо у файрбазі і сервер спокійно присилав відподвідь.) Хоча можна і курлом послати такий запит який шле аякс.

  2. Александр Александр

    Добрый день,а посерьезней флэшки можешь ломать?))

  3. Александр Александр

    Например : tankionline.com или pi-online.ru. Если да,то интересно как,хотелось бы научиться)

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *