QQ2006 正式版协议分析
本篇文章源自《黑客防线》2007年10月刊
转载请注明版权
作者:BinSys
===================================
本文的分析环境为Windows XP SP2 +QQ2006正式版+Snifer Portable 4.7.5,所有涉及代码部分均为VB描述,因为啥?别的不会了!嘻嘻。
QQ协议概述
QQ基本通信协议是一套基于TCP/IP协议的自己开发的二进制应用层网络协议,基本通信协议支持TCP以及UDP两种方式,而且两种方式基本数据结构大同小异,只是TCP多了一个数据包(以下简称包)长度描述的头部信息。QQ基本协议采用应答机制,也就是说发送的每一个包服务器都会回应对应的包的执行结果,服务器发送的每一个包你也要回应(登出包除外,它没回应。),这也许是因为UDP协议的不可靠性吧。
QQ协议的加密算法
QQ基本协议目前为止用了两种公开的加密算法:十六轮的TEA(Tiny Encryption Algorithm)和MD5。QQ密码密钥是先把QQ密码的字符串用MD5加密得到一个16字节的Byte数组,再把此数组作为明文用MD5加密,之后得到的是一个16字节的Byte数组备用,即QQ密码密钥。(在这里我可吃了好多苦,网上的都说是二次MD5,我就把密码的一次MD5 结果作为字符串再用MD5加密,怎么都和QQ2006的加密结果不一样,后来看了IceQQ的加密类才发现的。)TEA是一种小型的可逆加密算法,但是TX使用了独特的填充反馈机制。如果整个明文不是8的倍数,还要在头部用16字节的随机数填充,然后在尾部补0,直到是8的倍数。QQ数据明文被分成N个8字节的明文单元,用TEA以16字节的密钥依次加密每个单元产生8字节的密文,密文再参与下一单元的加密。由于头部填充了随机字节,所以即使是同一明文的密文,也会因随机数的不同以及反馈机制而不同。
QQ协议分析
QQ的大体登录过程用VB伪代码可以表示如下(0X0091等为命令编号,将在下文解释)。注意,本文各命令测试用的QQ号不同,所以包内QQ号字段会变化,但不影响协议分析。
Step0 QQ客户端→(0X0091)→服务器
Step1 QQ客户端←(0X0091)←服务器
If 0X0091返回=可以请求登录令牌 Then
Goto Step3
Else
更新返回的服务器地址
Goto Step0
End If
Step3 QQ客户端→(0X00BA)→服务器
Step4 QQ客户端←(0X00BA)←服务器
Step5 QQ客户端→(0X0022)→服务器
Step4 QQ客户端←(0X0022)←服务器
Select Case 0X0022返回
Case 登录成功
Goto Step5
Case 重定向
更新返回服务器地址
Goto Step3
Case 密码错误
重新输入密码
Goto Step3
End Select
Step5 QQ客户端→(0X0002)→服务器
然后就是一遍一遍的发送心跳包(告诉服务器自己在线),想登出时发送登出包。
QQ0F5F协议发送包头部为:“02 0F 5F 00 BA 17 4A 25 DF 2F BF”,共10字节,分别表述如下。
第0字节:02;基本包标志;1字节,固定。
第1~2字节:0F 5F;协议版本;2字节,根据协议版本变化。
第3~4字节:00 BA;命令;2字节,根据不同命令变化,请求包与对应的回复包这里相同。
第5~6字节:17 4A;包序列号;2字节,请求包与对应的回复包这里相同。
第7~10字节:25 DF 2F BF;QQ号的十六进制。我的测试号码为635383743;4字节。
QQ0F5F协议接收包头部与发送包相比少了第7~10字节,第1~2字节有时为“0X01 0X00”,其他不变,共7字节。发送包与对应的回复包命令和序列号相同。所有包尾为0X03,1字节。服务器与客户端各自有自己的包序列号,各自先初始一个,然后每次发一个包用当前序列号,再将序列号加1以备下次使用。当为0XFFFF时清零(0X0000)。例如客户向服务器发送命令0X0091,包序列号为0X0410,那么服务器返回命令为0X0091、包序列号为0X0410的包。下一次客户又发了一个命令为0X00BA、包序列号为0X0410+1,即0X0041的包,服务器返回命令为0X00BA、包序列号为0X0041的包的处理结果。下面是我的测试包,具有唯一性。
(1)0X0091命令(客户端发起)
这是TX新加入的,我理解的意思是询问服务器本QQ号是否可以在这里登录,因为TX的服务器有很多,不只是有域名的那几个,可能分管不同版本、不同地区、不同号段。具体格式如下。
发送:
02 0F 5F 00 91 01 11 25 DF 2F BF 75 60 28 8C 5D 30 74 A7 52 50 12 CE 54 C2 00 47 05 E6 E2 C6 23 3A B3 F7 51 9D A7 EC CA 28 0B B5 C4 B1 12 88 A4 01 DC 01 E0 D7 25 6F 5F F3 E0 E6 03
共计60字节,其中第0~10字节为头部,11字节;第11~26字节为初始密钥(随机产生),16字节;第27~58字节为加密的数据,32字节;第59字节为包尾,1字节。密文(第27~58字节)用初始密钥解密后为“00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00”,共16个 0X00,这个固定。
服务器返回1:
02 0F 5F 00 91 01 11 C8 38 BD F8 EA 72 0D 1C 1C F0 E7 72 39 F6 84 F2 03
共24字节,其中第0~6字节为头部,7字节;第7~22字节为加密的数据,16字节;第23字节为包尾,1字节;密文(第7~22字节)用初始密钥解密后为“00 00”,表示可以发送请求登录令牌的包。
服务器返回2:
02 0F 5F 00 91 01 11 E3 0E 5A 51 8F F9 96 B4 6E DE A2 9F 9E EC AB 0D 93 4E 24 92 32 18 B4 A2 97 42 06 EF FE D4 F5 58 03
共40字节,其中第0~6字节为头部,7字节;第7~38字节为加密的数据,32字节;第39字节为包尾,1字节。密文(第7~38字节)用初始密钥解密后为“00 01 01 00 00 00 01 00 00 00 00 DB 85 3E 08”,共15字节。密文中的第0~10字节固定,我们可以凭借第0和第1字节是否全是0来判断是否需要重定向新的服务器;第11~14字节为服务器分配的新服务器地址,本例为219.133.62.8(按位转换成十进制),这是告诉客户端重新去另一个服务器试试(再向新的服务器发送0X0091命令)。
(2)0X00BA命令(客户端发起)
这个是请求登录令牌命令,格式如下。
发送:
02 0F 5F 00 BA 01 12 25 DF 2F BF 75 60 28 8C 5D 30 74 A7 52 50 12 CE 54 C2 00 47 3D E8 6D C2 D9 0F AA FB C8 F7 4E 4E 59 84 7F 56 58 7A A6 EB 0D 75 1D 05 03
共52字节,其中第0~10字节为头部,11字节;第11~26字节为本包密钥,16字节;第27~50字节为加密的数据,24字节;第51字节为包尾,1字节。密文用初始密钥解密后为“01 00 05 00 00 00 00”,固定,共7字节。
服务器返回:
02 0F 5F 00 BA 01 12 2B 64 8C 2A 0F 89 7D 4C 38 19 84 3D 34 63 7E F1 15 5B 2E 8F 70 F0 74 16 1D 41 7B 7D A1 29 0E CD D5 3E B8 37 2D 8C 1B 82 56 94 D3 BC 07 FD 12 4A 03
共56字节,其中第0~6字节为头部,7字节;第7~54字节为加密的数据,48字节;第55字节为包尾,1字节。密文用本包密钥解密后为“01 00 05 00 00 20 66 86 D4 BC 1E 0A C1 56 D0 00 FE E6 50 3B C5 60 FF 5B 79 20 7E F9 E2 42 02 7C 78 98 33 BA 55 C7”,共38字节。密文的第0~4字节固定为“01 00 05 00 00”,5字节;第5字节“20”为登录令牌长度(十六进制),1字节;第6~37字节为登录令牌,32字节。
(3)0X0022命令(客户端发起)
这个是请求登录的命令,里面有一些你的密码等数据。
发送:
02 0F 5F 00 22 F2 22 25 DF 2F BF 72 5D 24 89 5A 2D 71 ……省略,详见杂志相关……AF A2 90 A8 1A 19 1E E4 F7 03
共492字节,其中第0~10字节为头部,11字节;第11~26字节为本包密钥,16字节;第27~490字节为加密的数据,24字节;第491字节为包尾,1字节。密文用本包密钥解密后如下:
7E B4 7B D3 95 89 78 5B 60 21 2……省略,详见杂志相关……00 00 00 00 00 00 00 00 00 00 00 00
共448字节,其中第0~15字节表示用TEA以密码二次MD5的结果为密钥加密一个只有1字节00的数组,服务器只看能否解密,并不关心内容。第16~50字节固定,含义未知。第51字节每天都变化,规则未知,但用06总是可以登录成功。第52字节为登录模式,正常是0X0A,隐身是0X28。第53~77字节固定,全00,含义未知。第78~93字节固定,含义未知。第94字节固定,为登录令牌长度(十六进制)。第95~126字节为登录令牌。
服务器返回登录成功:
02 0F 5F 00 22 F2 22 1A 94 D7 61 7C A……省略,详见杂志相关……69 AA DA 89 94 BC 1D 03
共208字节,其中第0~6字节为头部;第7~206字节为加密的数据;第207字节为包尾。密文用QQ密码二次MD5作密钥解密后如下:
00 4B 67 32 58 67 50 6A 69 65……省略,详见杂志相关……00 00 00 00 00 00 00 00 00 00 00 00 08 02 04 08 08 08 08 08 04 02
共184字节,第0字节为0x00表示登录成功,我们依靠这个字节判断登录成功与否。第1~16字节为会话的SessionKey,以后所有的包的解密密钥都是它。第17~20字节为登录的QQ 号。第21~24字节为服务器测试到的你的IP。第25~26字节为服务器测试到的你的端口。第27~30字节为服务器测试到自己的你的IP。第31~32字节为服务器测试到自己的你的端口。第33~36字节为本次登录时间,从1970-1-1开始的毫秒数,计算时应乘以1000。第37~38字节未知。第39~62字节为认证令牌,作用未知。第63~66字节为未知服务器IP1。第67~68字节为未知服务器端口1。第69~72字节为未知服务器IP2。第73~74字节为未知服务器端口2。第75~82字节未知。第83~114字节为client key,用于登录QQ家园之类的地方。第115~126字节未知。第127~130字节为上次登录IP。第131~134字节为上次登录时间,计算时应乘以1000。第135~183字节未知。
服务器返回重定向(其实只要用了0x0019命令得到了正确的服务器地址,则一般不会出现这个回复):
02 0F 5F 00 22 F2 22 30 11 CA F4 53 30 1A A6 4A 53 21 93 DB 6A E5 F2 50 77 59 2A FA 70 38 21 0E 50 51 7C 90 89 53 63 03
共40字节,第0~6字节为头部;第7~38字节为加密的数据
上一篇: 搭建ssr服务器
下一篇: js在框架中的跳转应用