Minecraft模组、母亲节与黑客爸爸
上周末我妻子身体不适,这意味着我们只能待在家里。由于她生病又恰逢母亲节周末——这可不是什么理想状况——我需要尽量让儿子有事可做,以便她能够休息和恢复。
当我问儿子想做什么时,他提到在某个YouTube频道上看到的一个新的Minecraft模组。这个模组允许你扮演各种漫威超级英雄!只不过,我们下载的模组版本……嗯,缺少了他在YouTube上看到的那些套装(当然会这样)。
我做了一些功课,发现他想要的版本只向Patreon支持者发布。现在,我完全愿意花5美元购买某人倾注心血开发的软件,而且最近刚看了《复联4》……对这款付费模组中展示的钢铁侠装备的渴望超过了守住5美元的欲望。我上了Patreon,捐了5美元,然后下载了模组。启动后,一切看起来都很好……然后我收到了这个:
未经授权使用
什么?真的吗?好吧,我回去重新阅读了Patreon的消息……
注意: 捐款后,请通过电子邮件发送您的Minecraft用户名,以便我将您添加到测试人员列表中。
呃,这里有几个问题。第一,我们现在就想访问。花一天(也许)时间将我们添加到某个神奇列表中并不理想(而且,创作者还没有回复我的邮件,所以可能……永远也不会?)。第二,我在想这是不是某种“每月捐5美元才能继续留在神奇列表中使用这个模组”的机制。而且,如果我已经为软件付了钱,我完全不喜欢受制于他人。
是时候成为我儿子需要的黑客爸爸英雄了 :P(另外,我想教他一点关于黑客精神的人生课程)。
好吧,那么……一个模组只是一个jar文件……让我们用JD-GUI打开它,搜索“未经授权使用”。
每个处理程序都有相同的代码,它们基本上看起来都一样,都在检查你是否在列表中,如果不在,你就不能玩。
那么这个列表是从哪里来的?看起来是来自SuperHeroesBetaTesterChecker.getList()
什么?我们真的从pastebin.com拉取某个列表来找出谁是授权用户吗?
好吧……那么……UUID?事实证明,UUID映射到用户名,这些信息完全可以检索,这个方便的网站有帮助:https://mcuuid.net/。
酷,所以现在我知道我们的UUID了(你们也知道了,但再说一次,任何人都可以找到这个,所以真的无所谓)。
最初,我尝试反编译、修改源代码并重新编译。有一次我甚至设置好了环境,用Eclipse和Forge编译这个源代码。但这花了我几个小时,我需要一个快速的解决方案。这时Burp派上了用场。以下是我所做的:
- 在代理选项下设置Burp监听所有接口
- 导出其证书,以便我儿子和我的机器都信任代理进行HTTPS流量(无证书警告)
- 设置我们的机器对所有安全网络流量使用Burp代理
- 添加了一些代理匹配和替换规则,将其他UUID替换为我们的(以及用户名用于开发级别访问,因为……为什么不呢)
基本上就是这样。一旦我们的机器开始通过我的Burp代理路由流量,每个从pastebin.com返回的带有那些UUID的响应都会自动将我们的UUID添加到授权用户列表中,而且效果非常好。
请注意,我没有详细说明上述4个步骤,因为……如果你还不熟悉Burp和代理网络流量,外面已经有大量的教程了。
总结一下。我们付了5美元,却被告知仍然需要特殊权限才能使用这个模组。感觉不舒服,想让它工作,并觉得我可以教儿子一点关于计算机/黑客的知识。现在,我有没有给模组的创作者发邮件?是的,事实上我告诉他们我发现了什么以及解决方法。对此非常坦率。还提供了用户名,以防创作者确实想添加它们(尽管我怀疑他是否感到超级慷慨)。但我们玩得开心,学到了一点东西,并且能够使用这个模组。
说了这么多,如果你有能力为某人花大量时间编写的软件捐几美元,我会说去做吧。但如果他们没有如约交付……就戴上你的黑客帽子 :-)。