флешерам для тех кто будет копать код флешки, при загрузке флешки отсылается сообщение авторизации на сервер разработчиков: loc1["sum2"] = api.MD5.encrypt(loc1["id"] + loc1["name"] + loc1["pic"] + loc1["fid"] + elex.util.Encrypt.getKey(farm.command.Command) + loc2); в котором: loc1["id"] - id в контакте loc1["name"] - имя в контакте loc1["pic"] - аватар loc1["fid"] - id'шники друзей через запятую elex.util.Encrypt.getKey(farm.command.Command) похоже константа но узнать ее значение у меня не получилось loc2 - unix timestamp эта часть данныхных, передается еще что-то, но их легко заменить, для этих надо пересчитывать sum2 в ответ приходит fermuid и secretid(который в последущих запросах идет как 'authcode' или 'ca') последущие запросы: arg3["k"] = elex.util.MD5.calcMD5(farm.model.FarmModel.instance.uid + farm.model.FarmModel.instance.authcode + elex.util.Encrypt.getKey(farm.command.Command) + loc2); uid - id в контакте authcode - secretid полученый при авторизации elex.util.Encrypt.getKey(farm.command.Command) - неизвестная хрень loc2 - unix timestamp З.Ы. код для api который виден в коде нужен только для получения списка друзей и их профиля на стороне клиента, вообще от него толку мало.
в дополнение скрипт для вытаскивания k, authcode и t из запросов после авторизации(например, из запроса user.reloadFarm), я использовал wireshark из которого копируется часть запроса 'Media Type' к gateway.php в виде 'Bytes (Hex Stream)', выглядит аля '0fab9c6e', передается как параметр скрипта: http://files.getdropbox.com/u/153097/hex2key скрин, как скопировать из wireshark: http://files.getdropbox.com/u/153097/wireshark.png З.Ы. с тем кто расскажет чему равно elex.util.Encrypt.getKey(farm.command.Command), проверить можно прочитав предыдущий пост, поделюсь наработками, в том числе - бота(сбор/посадка урожая, "уборка" участков друзей). З.Ы.Ы. общение с сервером в формате amf, так что запросы и ответы сервера могут быть на вполне понятном языке.
всем привет распишите подробно по поводу арт мани. у меня не получилось с помощью неё сделать деньги...цифры-то я вбил и было у меня хреналион монет, но пользоваться я ими не мог(((
Бот который в паблике(о котором я знаю) без исходников и использует оригинальную флешку, которая отжирает ресуры, у меня наработки общаются с сервером напрямую, не ест ресурсы и использовать/искать уязвимости гораздо проще когда не надо редактировать бинарный запрос. З.Ы. пока используется недоработка на сервере, ее могут прикрыть.
включаешь tamper data, открываешь рюкзак, перехватываешь запрос, изменяешь там "farmuid" на "farmuid1", выбираешь еду для курицы или свиньи и при кормлении курицы/свиньи изменяешь id вещи на 01. Если при этом пишет что то про удобрения, значит в твоем рюкзаке нет такой хавки, и придется вначале её купить, а потом опять начать всё заново. P/s с курицей не прокатило, а вот через свинью восстановил себе рюкзак. + животное должно быть голодным
Скачиваешь флешку на комп http://cs4232.vkontakte.ru/u3470167/bc0b515f32c97e.zip меняешь расширение на *.swf Потом скачиваешь декомпилятор флеш и вот у тя полноценный исходник игры!
Всё это я понимаю, но для работы игры ещё нужна база и php(вроде так), а в исходнике флэшки её нету. И как потом опять из всех этих папочек получить swf?
Народ, как можно взломать артмани!!!! Она не изменяет файлы на сервере, а у вас тока на компе!!!! Вы будите видеть,что измененна информация, но тока у вас на компе!!!!!
Помогите генерить подписи, будет бот на ruby, либо ищите farmerbot.rar (под вайном не фурычит, по крайней мере без ie). Кто знает, может ли разработчик заменить саму флешку, т. е. позволяет ли это делать контакт? Если может менять только серверную часть, то бот выложу для всех желающих.
