概述
我所作的协议是在黑箱基础上面作出, 并参考了LumaQQ 的文档, 还有网上流传很广泛的一份文档, 以及中国协议分析网的部分资料。
所分析的结果仅供学习借签参考, 不能用于其他的违法行为。
分析环境
我在我的Linux 工作站(Redhat Fedore 3 + Linux-2.6.10) 上面安装了Vmware 虚拟机,然后在虚拟上安装了QQ2005beta2, 在我的Linux 中使用ethereal 抓包软件。
QQ 加密算法
QQ 协议中用到算法有MD5 算法,用它来生成密码的HASH 串,然后有用来加密传送数据的TEA 算法,推荐的TEA 算法应该是32 轮,但是QQ 目前就使用了16 轮,TEA 是通过增加加密算法的轮数来提高安全性的, 不是使用复杂的算法。
网上有许多的资料关于这两种算法。由于下面会有代码分析, 所以我们这里给出我的MD5 算法和TEA 相关算法:下面是我的MD5 实现:
QQ 数据报文
QQ 的数据通过UDP 方式传送,就是说每个独立的报文长度不会大于64K,发送到QQ 服务器的8000 端口(默认)。
所有的QQ 发送的数据报文格式如下:
字节 内容以及说明
0 报文的开头, 所有的报文以0x02 开始
1-2 两个字节的以网络字节顺序表示的QQ 版本号
3-4 两个字节的以网络字节顺序表示的命令号
5-6 两个字节的发送序号,接收回应的时候必须效验这个序号,
其实这个序号可以随机生成,我认为。
7 -N 具体的数据,可能加密,也可能不加密,这里的数据要看具
体的情况
N+1 报文的结束,必须以0x03 表示
QQ2005beta2 版本代码
下面的分析这个版本QQ 的版本号码是0x0d51
获取登录令牌
QQ2005beta2 登录的时候首先会发送一个请求,向服务器请求登录令牌,目前这令牌是
24 个字节,但是其实可以是其他的,要看服务器发回给我们的数据了。我抓的数据是13 个字节,如下:02 0d 51 00 62 1a 15 14 c5 aa ea 00 03 02 是报文的开头,0x0d51 是版本,0x0062 是请求Lgin Token 的命令我登录的QQ 号码是348498666,表示位网络字节是0x00eaaac514 0x1a15 是序号
请求格式如下:
字节 内容
0 0x02 报文开始
1-2 网络字节的QQ 版本0x0d51
3-4 请求登录令牌的命令号0x0062
5-6 序号,可以是随机的
7-10 网络字节顺序的QQ 号码
11 0x00
12 0x03 报文结尾
如果成功会收到到服务返来的数据,这时候需要检查数据的命令类型是否也为0x0062 并且序列号是否是发送时候采用的序列号,如果不是,表示有错误,可以继续接收下一个包,直到超时!
目前我们抓到回应数据一般是34 字节,
回应的格式如下:
字节 内容
0 0x02 报文开始
1-2 服务器标识,0x0000(一般是)
3-4 0x0062
5-6 序列号,和刚才发送采用的是一样的
7 0 表示成功
8 令牌数据的长度(现在是24)
9 – N 令牌数据
N+1 0x03 报文结束
下面是我们获取登录令牌的实现:
/* 这个函数用来获取登录令牌*/ int qq_request_login_token(struct qq_client *qc,unsigned char*token) {
unsigned char buff_tx[65535]; /*64K 数据发送缓存*/ unsigned char buff_rx[65535]; /*64K 数据发送缓存*/ int len = -1; fd_set fds; struct timeval timeout; int e = -1; uint16_t tmp16 = 0; uint32_t tmp32 = 0; uint16_t seq = rand(); /*我们随机生成序号*/
/*检查传入的参数*/ if(!qc||qc->server<0||!token){ return -EFAULT; }
/*清零数据是个好习惯!*/ bzero(buff_tx,sizeof(buff_tx)); bzero(buff_rx,sizeof(buff_rx));
/*构造发送数据*/ /*0x02 表示报文开始*/ buff_tx[0] = 0x02; /*QQ 版本号码 0x0d51 是QQ2005beta2 */ *((uint16_t*)&buff_tx[1]) = htons(0x0d51); /*0x0062 表示登录令牌请求*/ *((uint16_t*)&buff_tx[3]) = htons(0x0062); /*序号*/ *((uint16_t*)&buff_tx[5]) = htons(seq); /*QQ 号码*/ *((uint32_t*)&buff_tx[7]) = htonl(qc->id); /*这位设置位0*/ buff_tx[11] = 0x00; /*报文结束*/ buff_tx[12] = 0x03;
/*发送这13个字节的报文到QQ服务器*/ len = write(qc->server,buff_tx,13);
/*我们采用了非阻塞的套节字, 所以么设置超时, 并检查socket 事件!*/ bzero(&timeout,sizeof(timeout)); /*超时一秒*/ timeout.tv_sec = 1; timeout.tv_usec = 0; /*设置需要监视的socket*/ FD_ZERO(&fds); FD_SET(qc->server, &fds); /*检查socket 事件*/ e = select(qc->server+1,&fds,NULL,NULL,&timeout);
if(e==-1||e==0){ /*超时了… */ fprintf(stderr,"request login token timeout.\n"); return -EFAULT;
}
/*好了!服务器回应数据出现了把接收数据放入buff_rx */ len = read(qc->server,buff_rx,sizeof(buff_rx));
if(len<=0){ /*读入数据失败*/ fprintf(stderr,"request login token error.\n"); return -EFAULT;
}
if(buff_rx[0] != 0x02 ){ /*不是QQ报文*/ fprintf(stderr,”not qq data .\n”); return –EFAULT;
}
#if 0 tmp16 = *((uint16_t*)&buff_rx[1]); printf("respond source tag �x\n",ntohs(tmp16));
#endif
tmp16 = *((uint16_t*)&buff_rx[3]);
if(htons(tmp16) != 0x0062 ){ /*不是登录令牌回应*/ fprintf(stderr,”not login token data.\n”); return –EFAULT;
}
if(ntohs(*((uint16_t*)&buff_rx[5])) != seq){ /*不是我们发出的数据,因为序号不对,起码是传输出错了*/ fprintf(stderr,"request login token sequence incorrect.\n"); return -EFAULT;
}
/*检查是否含有令牌数据*/
if(buff_rx[7] != 0x00){ fprintf(stderr,"failed to request login token.\n"); return -EINVAL;
}
/*令牌的长度*/ len = buff_rx[8];
printf("login token length is %d bytes\n",len);
/*复制令牌到我们的缓存*/ bcopy(&buff_rx[9],token,len);
printf("login token :"); HEX_PRINT(&buff_rx[9],len); return len;
}
登录
当我们获取登录令牌成功后,我们就可以开始我们的登录了过程了。
我捕获的数据长度(抛去协议数据)是460 字节
捕获的数据如下:
0x02, 协议开始
0x0d, 0x51, 版本 QQ2005beta2
0x00, 0x22, 登录请求
0x1a, 0x15, 报文序号
0x14, 0xc5, 0xaa, 0xea, QQ 号码我的号码348498666 = 0xeaaac514
0xd4,0xf3, 0x20, 0x2b, 0xc8, 0x65, 0x24, 0x55,
0xea, 0x61, 0x4a, 0xd5, 0xd3,0xae, 0x8e, 0xc8,登录数据数据密钥 16字节
…… 加密过的数据
0x03
我们除去报头的7 个字节,密钥16 字节,4 字节的号码, 还有0x03 这一个字节, 所以加密过的数据是460 -7 -16 -1 -4 = 432
其实我们在填充数据的时候,16 字节的初始密钥我们可以采用随即生成。这样安全性也许会更好。
我在自己写了个程序,采用密钥0xd4,0xf3, 0x20, 0x2b, 0xc8, 0x65, 0x24, 0x55,0xea, 0x61, 0x4a, 0xd5, 0xd3,0xae, 0x8e, 0xc8 对加密的432 字节数据解密后,还原出416 字节的登录数据,表明,那16 字节确实是初始的加密密钥。
下面说明这些数据的意义:
0 ― 15 共16 字节
0x28 ,0xb0 ,0x5f ,0xec ,0x84 ,0x96 ,0x7a ,0xea ,
0x4d ,0xab ,0x72 ,0xc8 ,0xed ,0xdd ,0x14 ,0x92 ,
这16字节是先把密码作两次MD5-16 运算得到一个HASH, 然后把这个结果作为密钥用TEA 加密一个任意的字串,可以是空!得到这16字节,服务器其实只是看看能不能在服务器端解密, 并不关心解密后的内容!
16 -51 共36字节
0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x23 ,0xa2 ,0x10 ,0x55 ,0x97 , 0x52 ,0xd8 ,0x1e ,0xb4 ,0xd7 ,0x87 ,0x89 ,0x4a , 0x12 ,0x7d ,0xd1 ,0x01
看起来是固定的内容
52 – 52 共一个字节0x0a ,
这里是登录的模式,是隐身的还是正常的0x0a 是正常模式0x28 是隐身模式
53 -68 共16字节
0x61 ,0x78 ,0x3e ,0x2b ,0x13 ,0x76 ,0x43 ,0x4a , 0xb5 ,0xdc ,0x46 ,0xce ,0x16 ,0x9b ,0x77 ,0xfc ,
不知道意思
69 – 69 共一个字节 0x18 , 这里是登录令牌的长度,0x18 = 24
70 – 93 共24字节的登录令牌
0xc6 ,0x54 ,0x88 ,0x4e ,0x56 ,0xe6 ,0xbb ,0x13 , 0x90 ,0x9c ,0xb2 ,0x2a ,0xb8 ,0x0d ,0xee ,0xc0 , 0xb1 ,0x7a ,0xb4 ,0x70 ,0x38 ,0xe7 ,0x52 ,0xde ,
24字节的登录令牌,这24字节刚好是我们刚才得到的!
94-94 一个字节 0x01 , 固定的0x01,目前不知道含义
95-95 一个字节0x40 ,
目前不知含义,固定的
96 – 415 字节我观察到全部为0,不知道含义!
0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,
0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,0x00 , 0x00 ,0x00 ,0x00 ,0x00 ,0x00 ,
下面是登录请求460 字节的数据格式:
字节 内容
0 0x02 报文开始
1-2 QQ 版本号码,QQ2005beta2 是0x0d51
3-4 QQ 命令,这里是0x0022 表示登录请求
5-6 报文序号,可以是随即,但是我发现QQ2005 一直用不变
的,实际中我们用rand() 函数生成
7-10 四字节的QQ 号码,网络字节顺序
11-26 16 字节的随即密钥,以前是全部位0x01
27 – 458 加密的登录数据432 字节
459 0x03 报文结尾
下面是没有用TEA 加密前的416 字节数据
字节 内容
0-15 先将密码用MD5-16 运算两轮,然后用这个结果
作为密钥用TEA 加密任意字串得到这16 字节的
内容
16-51 我不知道意思,看来是固定,LumaQQ 也是这样
的
52 登录模式,0x0a 是正常,0x28 是隐身
53-68 不知道意思,共16 字节
69 登录令牌的长度,目前是24 字节
70 – 93 24 字节的登录令牌
94 固定内容0x01 我猜测是平台代码,也许
95 固定内容0x40
96 – 415 全部为0 不知道意思
当服务器收到我们发送的数据后,先尝试用TEA 解密,密钥是两轮MD5-16 得到的结
果。如果可以解密。它的回应格式如下:回应数据1:
第一位是0x00 的情况
字节 内容
0 0x00
1-16 会话令牌,以后的会话加密会用到,以后的数据都
需要用这个令牌加密,共16 字节
17-20 你的QQ 号码,网络字节顺序
21-24 服务器测试到的你的登录IP,网络字节顺序
25-26 服务器测试到的你的登录port ,网络字节顺序
27-30 服务器自己的倾听IP
31-32 服务器自己的倾听port
33-36 本次的登录时间
37-62 未知
63-66 未知的IP 地址
67-68 未知的端口
69-72 未知的服务器IP
73-74 未知的端口
75-122 未知内容
123-126 上次的登录IP
127-130 上次登录时间
131-138 未知含义
第一位是0x01 的情况:
字节 内容
0 0x01
1-4 登录用的QQ 号码
5-8 重定向的新服务器IP
9-10 新服务器port
如果使用第一个密钥不可解密,就尝试用登录加密数据使用的随即密钥解密,一般我们全部设置位0x01
如果第一个字节是0x01 也是重定向操作,0x02,0x05 是密码错误。
下面的代码展示了简单的登录:
/* 登录代码*/
int qq_login( struct qq_client qc, /* 客户端数据结构*/ const char*id, /*字符形式的QQ号*/ const char pass, /*密码*/ unsigned char login_mode,/* 登录模式,0x0a= 正常,0x28= 隐身*/ const char*local_ip,/* 本地倾听IP, 设置为“0.0.0.0”*/ int local_port, /*本地的端口,指定一个未用的*/ const char*server_ip,/* 腾训的服务器*/ int server_port /*QQ 服务器端口,一般是8000*/ )
{
struct sockaddr_in sin; int i = 0; int len = sizeof(struct sockaddr_in); int len2 = 0; uint16_t tmp16 = 0; uint32_t tmp32 = 0; struct in_addr in; int e = 0; fd_set fds; struct timeval timeout; unsigned char data_raw[1024]; unsigned char data_encrypted[1024+16]; unsigned char data_decrypted[1024]; unsigned char buff_tx[65535]; unsigned char buff_rx[65535]; unsigned char *p = NULL; unsigned char login_token[256]; int login_token_len = 0; unsigned char tmp[16]; md5_context ctx;
bzero(buff_tx,sizeof(buff_tx)); bzero(buff_rx,sizeof(buff_rx)); bzero(data_raw,sizeof(data_raw)); bzero(data_encrypted,sizeof(data_encrypted));
/*检查传入的参数*/ if(!qc||!id||!pass||!local_ip||!server_ip){ return -EFAULT; }
/*是否已经登录*/ if(qc->logined){ return 0; }
/*设置模式*/ qc->login_mode = login_mode;
if( qc->login_mode!=0x0a && qc->login_mode!=0x28 ){ qc->login_mode = 0x0a;
}
/*必要设置*/ qc->id = atol(id); snprintf(qc->pass,sizeof(qc->pass),pass);
printf("login id = %d pass = \"%s\"\n",qc->id,qc->pass);
qc->local_port = local_port; snprintf(qc->local_ip,sizeof(qc->local_ip),local_ip);
qc->server_port = server_port; snprintf(qc->server_ip,sizeof(qc->server_ip),server_ip);
printf("local address %s:%d\n",qc->local_ip,qc->local_port); printf("server address %s:%d\n",qc->server_ip,qc->server_port);
/*设置加密登录数据的密钥,随即设置即可*/ /*重新设置随机种子*/ srand(time(0)); for(i=0;i<16;i++){
qc->init_key[i] = rand()&0xff; }
/*创建一个套节字用来作UDP通讯*/ qc->server = socket(PF_INET,SOCK_DGRAM,0);
if(qc->server<0){ return -EFAULT; }
/*设置套节字为非阻塞套节字*/ fcntl(qc->server,F_SETFL,O_NONBLOCK);
sin.sin_family = AF_INET; sin.sin_addr.s_addr = inet_addr(qc->local_ip); sin.sin_port = htons(qc->local_port);
len = sizeof(sin);
/*我们需要绑定这个UDP套节字,因为我们想用固定端口通讯!*/
if(bind(qc->server,(struct sockaddr*)&sin,len)<0){ close(qc->server); qc->server = -1; return -EFAULT;
}
sin.sin_family = AF_INET; sin.sin_addr.s_addr = inet_addr(qc->server_ip); sin.sin_port = htons(qc->server_port);
len = sizeof(sin);
/*采用connect 后我们就可以调用read/write 系统调用了*/
/*连接到腾训服务器*/
if(connect(qc->server,(struct sockaddr*)&sin,len)<0){ close(qc->server); qc->server = -1; return -EFAULT;
}
/*请求登录令牌,重试8次*/
for(i=0;i<8;i++){ login_token_len = qq_request_login_token(qc,login_token); if(login_token_len>0){
/*如果成功就退出*/ break; } }
/*看看是否请求到了登录令牌*/
if(i==8){ close(qc->server); qc->server = -1; return -EFAULT;
}
/*两轮MD5-16 加密密码,保存在qc->pass_encrypted 中*/ md5_starts(&ctx); md5_update(&ctx,pass,strlen(pass)); md5_finish(&ctx,tmp);
md5_starts(&ctx); md5_update(&ctx,tmp,16); md5_finish(&ctx,qc->pass_encrypted);
/*000-015 用MD5 加密任意字符*/ qq_encrypt("LINUXQQ",7,qc->pass_encrypted,data_raw,&len);
/*016 -051 固定内容*/ bcopy(login_16_51,&data_raw[16],35);
/*52-52 登录模式*/ data_raw[52] = qc->login_mode;
/*053 -068 固定内容*/ bcopy(login_53_68,&data_raw[53],16);
/*69-69 登录令牌长度*/ data_raw[69] = login_token_len; /*复制登录令牌*/ bcopy(login_token,&data_raw[70],login_token_len);
/*固定内容*/ data_raw[70 + login_token_len ] = 0x01; data_raw[70 + login_token_len +1] = 0x40;
len = 70 + login_token_len +2;
/*未知内容*/ bcopy(login_unknown_fixed,&data_raw[len],sizeof(login_unknown_fixed)); len+=sizeof(login_unknown_fixed);
len = 416;
/*用TEA 加密这416 数据,密钥是我们随机得到的init_key*/ qq_encrypt(data_raw,416,qc->init_key,data_encrypted,&len);
p = buff_tx;
/*创建发送报文*/ /*所有报文用0x02 开头*/ p[0] = 0x02; /*版本是QQ2005beta2*/ *((uint16_t*)&p[1]) = htons(0x0d51); /*命令是0x0022 表示登录请求*/ *((uint16_t*)&p[3]) = htons(0x0022); /*随机得到一个报文序号*/ qc->seq = rand()e535; *((uint16_t*)&p[5]) = htons(qc->seq); /*QQ 号码*/ *((uint32_t*)&p[7]) = htonl(qc->id); /* 放置加密的密钥*/ bcopy(qc->init_key,&p[11],16); /*我们加密过的登录数据*/ bcopy(data_encrypted,&p[27],len);
len = 27 + len; /*报文结束*/ p[len] = 0x03;
/*发送登录数据*/ e = write(qc->server,buff_tx,len+1);
if(e!=(len+1)){ close(qc->server); qc->server = -1; return -EFAULT;
}
/** 准备接收数据/ bzero(&timeout,sizeof(timeout));
/*1S 超时*/ timeout.tv_sec = 1; timeout.tv_usec = 0;
FD_ZERO(&fds); FD_SET(qc->server, &fds);
/*我们等待8个数据包*/ for(i=0;i<8;i++){
e = select(qc->server+1,&fds,NULL,NULL,&timeout);
if(e==-1||e==0){ fprintf(stderr,"receive data timeout\n"); close(qc->server); qc->server = -1; qc->login_retry++; if(qc->login_retry>16){
fprintf(stderr,"too many times retried.\n");
return -EFAULT; } /*失败了重新试*/ return qq_login(qc,id,pass,login_mode,
local_ip,local_port, inet_ntoa(in),ntohs(tmp16)); }
bzero(buff_rx,sizeof(buff_rx));
/*读入接收到的数据*/
len = read(qc->server,buff_rx,sizeof(buff_rx));
if(len<0){
close(qc->server);
qc->server = -1;
return -EFAULT;
}
p = buff_rx;
// printf("respond header tag �x\n",buff_rx[0]);
// tmp16 = *((uint16_t*)&p[1]);
// printf("respond source tag �x\n",ntohs(tmp16));
// tmp16 = *((uint16_t*)&p[3]);
// printf("respond command code �x\n",ntohs(tmp16));
// tmp16 = *((uint16_t*)&p[5]);
// printf("respond sequence %d\n",ntohs(tmp16));
// printf("respond tail tag �x\n",buff_rx[len-1]);
if(p[0]!=0x02 || p[len-1]!=0x03){
/*数据不对*/
fprintf(stderr,"login failed tail/header tag error.\n");
/*继续等待看看能不能收到*/
continue;
}
if(htons(*((uint16_t*)&p[3])) != 0x0022){ fprintf(stderr,"not login respond data. cmd =
%d\n",htons(*((uint16_t*)&p[3]))); /*不是登录回应,但是是其他的包,继续试试看看*/ continue;
}
if(ntohs(*((uint16_t*)&p[5])) != qc->seq){ fprintf(stderr,"respond sequence error seq =
%d\n",htons(*((uint16_t*)&p[5]))); /*序列不对,继续等待回应*/ continue;
} /*OK. 是回应数据*/ break;
}
len = len - (7 + 1); bzero(data_decrypted,sizeof(data_decrypted));
len2 = len;
/*解密接收的数据,先用密码的MD5 作为密钥*/ e = qq_decrypt(&p[7],len,qc->pass_encrypted,data_decrypted,&len2);
if(e == 0) {
/*登录成功了*/ if(data_decrypted[0] == 0x00){
/*001-016 会话令牌*/ bcopy(&data_decrypted[1],qc->session_token,16); printf("session token:"); HEX_PRINT(data_decrypted,16);
//017-020: login uid tmp32 = *((uint32_t*)&data_decrypted[17]); tmp32 = ntohl(tmp32);
// printf("user id %d\n",tmp32);
// 021-024: server detected user public IP tmp32 = *((uint32_t*)&data_decrypted[21]); in.s_addr = tmp32; sprintf(qc->detected_ip,"%s",inet_ntoa(in)); printf("server detected my ip %s\n",qc->detected_ip);
// 025-026: server detected user port tmp16 = *((uint16_t*)&data_decrypted[25]); tmp16 = ntohs(tmp16); qc->detected_port = tmp16; printf("server detected my port %d\n",qc->detected_port);
//027-030: server detected itself ip 127.0.0.1 ? // 031-032: server listening port // 033-036: login time for current session tmp32 = *((uint32_t*)&data_decrypted[33]); tmp32 = ntohl(tmp32); printf("login time for current session %d\n",tmp32);
tmp32 = *((uint32_t*)&data_decrypted[123]); in.s_addr = tmp32; printf("last login ip %s\n",inet_ntoa(in)); // 127-130: login time of last session // 131-138: 8 bytes unknown
//total 139 bytes
printf("id = %s pass = %s logined ok.\n",id,pass);
qc->logined = 1;
return 0;
} else if(data_decrypted[0] == 0x01){ printf("redirect to other server.\n"); // 000-000: reply code //printf("server reply code �x\n",data[0]); // 001-004: login uid tmp32 = ntohl(*((uint32_t*)&data_decrypted[1])); printf("request id %d\n",tmp32); // 005-008: redirected new server IP tmp32 = *((uint32_t*)&data_decrypted[5]); in.s_addr = tmp32; printf("new server ip %s\n",inet_ntoa(in)); // 009-010: redirected new server port tmp16 = *((uint16_t*)&data_decrypted[9]); printf("new server port %d\n",ntohs(tmp16));
close(qc->server); //bzero(qc,sizeof(struct qq_client)); qc->server = -1;
qc->login_retry++;
if(qc->login_retry>16){ fprintf(stderr,"too many times retried.\n"); return -EFAULT;
}
return qq_login(qc,id,pass,login_mode,local_ip,local_port, inet_ntoa(in),ntohs(tmp16));
} else if(data_decrypted[0] == 0x05) {
printf("id = %s pass = %s password error.\n",id,pass); close(qc->server); qc->server = -1; return -EINVAL;
} else {
printf("unknown error.\n"); close(qc->server); qc->server = -1; return -EINVAL;
} }
bzero(data_decrypted,sizeof(data_decrypted));
/*如果解密失败,试试用我们的init_key 能缶解密*/ len2 = len; e = qq_decrypt(&p[7],len,qc->init_key,data_decrypted,&len2);
if(e == 0){ switch(data_decrypted[0]){
case 0x01: printf("redirect to other server.\n"); // 000-000: reply code //printf("server reply code �x\n",data[0]); // 001-004: login uid tmp32 = ntohl(*((uint32_t*)&data_decrypted[1])); printf("request id %d\n",tmp32); // 005-008: redirected new server IP tmp32 = *((uint32_t*)&data_decrypted[5]); in.s_addr = tmp32; printf("new server ip %s \n",inet_ntoa(in)); // 009-010: redirected new server port tmp16 = *((uint16_t*)&data_decrypted[9]); printf("new server port %d\n",ntohs(tmp16));
close(qc->server); //bzero(qc,sizeof(struct qq_client)); qc->server = -1;
qc->login_retry++;
if(qc->login_retry>16){ fprintf(stderr,"too many times retried.\n"); return -EFAULT;
}
return qq_login(qc,id,pass,login_mode,local_ip,local_port,inet_ntoa(in),ntohs(tmp16));
break;
case 0x02: printf("id = %s pass = %s password error.\n",id,pass); close(qc->server); qc->server = -1; return -EINVAL; break;
case 0x05: printf("id = %s pass = %s password error.\n",id,pass); close(qc->server); qc->server = -1; return -EINVAL; break;
default: printf("unknow server error.\n"); close(qc->server); qc->server = -1; qc->login_retry++; if(qc->login_retry>16){
fprintf(stderr,"too many times retried.\n");
return -EFAULT; } return
qq_login(qc,id,pass,login_mode,local_ip,local_port,inet_ntoa(in),ntohs(tmp16)); break;
}/*switch*/ } else {
printf("decrypt data error\n"); close(qc->server); qc->server = -1; qc->login_retry++; if(qc->login_retry>16){
fprintf(stderr,"too many times retried.\n");
return -EFAULT; } return qq_login(qc,id,pass,login_mode,local_ip,
local_port,inet_ntoa(in),ntohs(tmp16)); }
qc->logined = 1;
return 0;
}
