wiki:Ruzzle-cheater

Version 1 (modified by mancausoft, 11 years ago) (diff)

--

Parlando su irc con sand mi ha fatto venire la voglia di indagare di piu' su ruzzle per capire come funziona, un bel divertimento per il tempo libero. La prima cosa che ho scoperto e' stato che se ti colleghi via ssh al cellulare e porti indietro l'orologio puoi aumentarti il tempo all'infinito, ma questo trucchetto non era abbastanza bello da sfamare la mia curiosita', sono trucchetti semplici.

Quindi scarico l'apk sul pc e tramite un software di cui non ricordo il nome ho trasformato l'apk in un jar. Fatto questo ho estratto tutto il contenuto del jar (ho controllato e si chiama dex2jar) . Estratto i jar vedo che quello che usano e' una libreria C loro piu' tutto codice java. Non avevo mai usato un decompiler java e non pensavo uscisse qualcosa di leggibile da umano, ma ho provato lo stesso e il risultato e' stato molto ma molto stupefacente. Codice umanamente leggibile, a parte qualche piccola eccezione ma per il resto facilmente leggibile.

guardiamo un po' la struttura del codice:

src $ ls
android  com  org  se

dentro se/maginteractive/rumble/ troviamo il codice di ruzzle:

ls
activities  ad  adapters  api  BuildConfig.java  datastructure  GCM  GLES2  
Manifest.java  model  R.java  Rumble.java  util  view

la prima cosa che faccio e' cercare dove inviano i dati, e l'ho trovato facilmente dentro il file api/RumbleConnector.java. Guardando la funzione che invia ogni cosa noto una cosa che nemmeno un principiante con un minimo di cervello farebbe:

private static String post(String s, String s1)
        throws RumbleException
    {
        HttpPost httppost;
        HttpResponse httpresponse;
        int i;
        int j;
        Log.d("RumbleConnector", (new StringBuilder()).append("URL: ").append(s).toString());
        Log.d("RumbleConnector", (new StringBuilder()).append("Data").append(s1).toString());
        BasicHttpParams basichttpparams = new BasicHttpParams();
        SchemeRegistry schemeregistry = new SchemeRegistry();
        schemeregistry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
        SSLSocketFactory sslsocketfactory = SSLSocketFactory.getSocketFactory();
        Scheme scheme = new Scheme("https", sslsocketfactory, 443);
        schemeregistry.register(scheme);
        DefaultHttpClient defaulthttpclient = new DefaultHttpClient(new ThreadSafeClientConnManager(basichttpparams, schemeregistry), basichttpparams);
        httppost = new HttpPost(s);
        httppost.addHeader("Content-Type", "application/json");
        httppost.addHeader("User-Agent", (new StringBuilder()).append("Android/Rumble/").append(RumbleDataSource.getInstance().getCurrentVersion()).toString());
        HttpResponse httpresponse1;

In pratica mettono nei log non solo la url ma anche i dati che inviano. Non potevo credere ai miei occhi alzi la mano chi non pensa che sia una cosa stupida! (fucilate a vista chi alza la mano per favore :D). Utilizzano questa post quasi per tutto, poi esiste una post2 che non e' altro che un copia e incolla della post cancellando le righe di log, la utilizzano per inviare il punteggio.

A questo punto mi collego via ssh al cellulare, faccio su per ottenere i permessi di root e lancio logcat ridirezionando l'output su file, apro ruzzle e inizio a fare le operazioni tipiche.

Velocizzando il racconto, inizio a capire il tutto come funziona e scrivo un programma in python, facendo l'errore di usare twisted (non e' che non mi piace twisted, anzi, ma per quello che dovevo fare non serviva avere qualcosa di asincrono). Roba noisa e ripetiva, bisogna inviare roba codificata in json verso un server http e leggere il risultato in json. Roba molto noiosa di cui non mi va di parlare.

Comunque inviato il login mi accorgo di una cosa che farebbe inorridire anche chi ancora non lo ha fatto, In pratica dopo il login ti viene inviato un numero di sessione che puoi usare all'infinito ed e' sempre uguale, anche se cambi la password!!! (Perche' fare cose del genere? chiedetelo a quelli di ruzzle che io non ho nessuna voglia di chiedere). In pratica se qualcuno si logga su ruzzle utilizzanod il mio cellulare, mi ritrovo tra i log il numero di sessione che potro usare all'infinito per giocare con l'account dell'amico, molto comodo. Piu' vado avanti e piu' mi sembrano dei principianti.

Sorvoliamo questo fatto ed andiamo avanti, invio una richiesta di elenco di partite e noto un altra cosa da principianti, in pratica mi arriva il punteggio che ha fatto l'avversario anche dei round che ancora non ho inviato. PERCHE???!!!! ALLORA VOLETE AIUTARE CHI BARA???

La cosa preoccupante e' che non mi arriva in nessun modo la scacchiera, ma tra i dati che mi arrino per ogni round noto 3 valori che mi incuriosiscono:

 'rounds': [{'gameId': '9108341182362867352', 'player2Moves': '204540459E3049A3049530563112212341267341267A3126A512659E4126504126BE4126953126331273512736A51273651154156733156A5156A9E5156A724156BE315634156326156327A21593159A3159E2150415840', 'player2Done': 'true', 'seed1': '800038988', 'seed2': '830013712', 'seed3': '129958401', 'player1Moves': '21233621536210110372652623362732A623A6233A6733156A49A67349A6723BA624BA6253A6153A6105459A725459A733459A36A9546A9503159A5159A633736A5736A952BEA3ED95326953156335673356723367A33695415840495840', 'player2Score': '357', 'persistedRound': 'false', 'round': '0', 'player1Score': '335', 'player1Done': 'true'}, {'gameId': '9108341182362867352', 'player2Moves': '10120154015AB4015AE401523401526601526AB10450459EB50459634045AB4045AE5045AEB5045A6350452763048C5048CDE7048CDEA5304856048527B604852762049305AE405AEB405A631122123212631265212541254041258C11531540315AB315AE415AEB415A633152641527B4152733104521453148C4148DE', 'player2Done': 'true', 'seed1': '1370501326', 'seed2': '995886043', 'seed3': '906124985', 'player1Moves': '4326AB376AB476ABE376AE2ABE49548C4958404DC8414DC8454DC840396233967B3962159625405962541396AB396AE3DEA63DEAB2B733B7233B7213B72533721252635263552637B5526BAE345A6345AB445273595237649527649527B4952734AB7234AB7254FB7234FB7252376532104543258C09', 'player2Score': '665', 'persistedRound': 'false', 'round': '1', 'player1Score': '696', 'player1Done': 'true'}, {'gameId': '9108341182362867352', 'player2Score': '0', 'player2Done': 'false', 'seed1': '362894109', 'seed2': '7957389', 'seed3': '578740907', 'player1Moves': '20123562125632B7326732DA6', 'persistedRound': 'false', 'round': '2', 'player1Score': '30000', 'player1Done': 'true'}], 'chatLastUpdated': '-1', 'state': '1', 'pairCounter': '5', 'player2MostWordsInRound': '0', 'type': '0', 'cacheKey': 'readGame_9108341182362867352', 'dictionaryVersion': '1', 'player2Score': '1022', 'lastUpdated': '1363390659377', 'player1BestWord': 'LELLA', 'player2User': {'username': 'mancausoft', 'ranking': '0', 'premium': 'false', 'useFacebookImage': 'false', 'userId': '879878479', 'matchesPlayed': '0', 'avatarId': '2025'},

cio' che mi incuriosisce e':

 'seed1': '1370501326', 'seed2': '995886043', 'seed3': '906124985',

Torno al codice, e vado nel file model/Board.java e noto che come immaginavo la soluzione sta in questi valori. seed1 viene inviata ad unaa funzion srand dentro la libreria c loro, e poi richiamando la random dentro la stessa funzione escono dei numeri random che servono a generare la scacchiera. seed2 invece e' il seme che serve per calcolare i bonus. Di seed3 invece non vedo traccia nel codice, sembra essere alquanto inutile, della serie noi lo inviamo se poi ci viene un idea lo usiamo :D.

Il problema e' che non riesco ad usare questa libreria sul pc, ma solo su android, allora inizio a guardare i numeri generati con i vari seed e li confronto con la rand di python e niente. Poi ci penso su e provo a generare numeri in C e con mia immenso stupore vedo che i numeri generati usando lo stesso seme sono gli stessi!! Quindi passo a riscrivere la funzione in python che estrae la scacchiera:

import ctypes
LIBC = ctypes.cdll.LoadLibrary("libc.so.6")
letterChar = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'
letterCount = [114, 18, 50, 20, 105, 14, 24, 8, 124, 0,
                0, 36, 36, 60, 82, 23, 1, 85, 63, 71,
                18, 19, 0, 1, 0, 17]
letterPoints = [
                1, 5, 2, 5, 1, 5, 8, 8, 1, 10,
                10, 3, 3, 3, 1, 5, 10, 2, 2, 2,
                3, 5, 10, 10, 10, 8
                ]
numChar = 26

bonusDist = [[1, 1, 0, 0, 14],
             [2, 1, 1, 0, 12],
             [1, 2, 2, 1, 10]]

bonusTiles =['D', 'T', 'V', 'W', ' ']

tiles = ""
points = []
bonus = ""

def generateLettersUsingSeed(seed1, seed2, round):
        global tiles
        global points
        global bonus
        a = []
        p = []
        tiles = ""
        points = []
        bonus = ""

        for i in xrange(numChar):
                for j in xrange(letterCount[i]):
                        a.append(letterChar[i])
                        p.append(letterPoints[i])
        seed1 = int(seed1)
        seed2 = int(seed2)
        round = int(round)
        LIBC.srand(seed1)
        for i in xrange(16):
                k = LIBC.rand()
                k %= len(a)
                tiles += a.pop(k)
                points.append(p.pop(k))
        a = []
        for i in xrange(5):
                for j in xrange(bonusDist[round][i]):
                        a.append(bonusTiles[i])
        LIBC.srand(seed2)
        for i in xrange(16):
                k = LIBC.rand()
                k %= len(a)
                bonus += a.pop(k)

In pratica e' un modo per estrarre delle lettere a caso dando un peso ad ogni lettera. Non mi va di commentarlo, ho solo ricopiato quello che fa ruzzle in java.

Attachments (3)

Download all attachments as: .zip