Обход Cloudflare в экшенах запросов

[Phoenix78]

Возможно поможет.

там же рабочий обход клауда с использованием браузера
нафига изобретать велосипед, если в зенке и так есть браузер, который в последних версиях проходит клауд ?

 

[Андрейка2020]

Возможно поможет.

очень сложно, и не похоже, что работает стабильно

 

[kem]

помогает curl

 

[Андрейка2020]

помогает curl

Деннги нннада? Сделаешь готовое решение?
Кажется, под мою задачу несложно должно быть для человека понимающего, что к чему...

 

[kem]

Деннги нннада? Сделаешь готовое решение?
Кажется, под мою задачу несложно должно быть для человека понимающего, что к чему...

https://zennolab.com/discussion/threads/curl-otlichnaja-alternativa-dlja-vypolnenija-zaprosov-get-post.33699/page-2

я думаю ты и сам справишься

 

[Андрейка2020]

https://zennolab.com/discussion/threads/curl-otlichnaja-alternativa-dlja-vypolnenija-zaprosov-get-post.33699/page-2

я думаю ты и сам справишься

Ок, покурю на досуге. Благодарю за наводку. Предварительно глянув, есть подозрение, что ты меня переоцениваешь )

 

[Asmus003]

А в чем прикол, Курл на рабочем компе (вин10) проходит на конкретном сайте, а на сервере (винсерв 16), тот же курл, тот же запрос - нет?

 

[kem]

А в чем прикол, Курл на рабочем компе (вин10) проходит на конкретном сайте, а на сервере (винсерв 16), тот же курл, тот же запрос - нет?

скорей всего ты палишся по тлс. попробуй выставить в запросе курл --tlsv1.3

 

[Asmus003]

скорей всего ты палишся по тлс. попробуй выставить в запросе курл --tlsv1.3

не помогло. где-то была инфа, что на старых версиях ОС нету поддержки ТЛС1.3, может в этом дело. так что пора переходить на другую ОС)
еще интересно что на винсерве заголовки ответа HTTP/2 403, а на 10 винде HTTP/1.1 200 OK, т.е на сервере почему-то передается запрос не так...

 

[kem]

не помогло. где-то была инфа, что на старых версиях ОС нету поддержки ТЛС1.3, может в этом дело. так что пора переходить на другую ОС)
еще интересно что на винсерве заголовки ответа HTTP/2 403, а на 10 винде HTTP/1.1 200 OK, т.е на сервере почему-то передается запрос не так...

ну по ответу видно что на сервере хттп2 а на десятке хттп 1.1.
Попробуй отправить с такими аргументами-
--ciphers TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES256-SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,AES128-SHA,AES256-SHA --http2 --http2-no-server-push --false-start --compressed --tlsv1.2 --no-npn --alps --cert-compression brotli --location
ЮА используй этот - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36

 

[Asmus003]

ну по ответу видно что на сервере хттп2 а на десятке хттп 1.1.
Попробуй отправить с такими аргументами-
--ciphers TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES256-SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,AES128-SHA,AES256-SHA --http2 --http2-no-server-push --false-start --compressed --tlsv1.2 --no-npn --alps --cert-compression brotli --location
ЮА используй этот - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36

эти заголовки ничего не дали. но сработало --http1.1

 

[andrey-ka]

За 2 года темы решения так и не появилось? Я заметил, что при работе с моим сайтом важна последовательность отправляемых заголовков, т.е. если отправить в "нужно последовательности" то сайт возвращает ответ 200, если последовательность нарушается то сайт говорит 403:

работает:
Accept: application/json
User-Agent: androidApp
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate


НЕ работает:
User-Agent: androidApp
Accept: application/json
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate

Стандартный, альтернативный запрос зенки не справляется. Альтернативный отправляет сами заголовки в нужной последовательности, но user-agent лепит не туда куда нужно (

 

[Андрейка2020]

user-agent лепит не туда куда нужно

UA в зенке всегда первым должен быть вроде, иначе не работает кубик вовсе. Или нет?

 

[andrey-ka]

UA в зенке всегда первым должен быть вроде, иначе не работает кубик вовсе. Или нет?

я на с# пишу

 

[one]

За 2 года темы решения так и не появилось? Я заметил, что при работе с моим сайтом важна последовательность отправляемых заголовков, т.е. если отправить в "нужно последовательности" то сайт возвращает ответ 200, если последовательность нарушается то сайт говорит 403:

работает:
Accept: application/json
User-Agent: androidApp
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate


НЕ работает:
User-Agent: androidApp
Accept: application/json
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate

Стандартный, альтернативный запрос зенки не справляется. Альтернативный отправляет сами заголовки в нужной последовательности, но user-agent лепит не туда куда нужно (

Может по этому на экшенах не реализовать решения т.к. надо обязательно указывать первым UA.

 

[andrey-ka]

с помощью curl удалось добиться того, что сервер возвращает ответ 200, но только если запросы идут через прокси burp, если не использую прокси или использую обычные прокси то возвращается 403.
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?

upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным

 

[Roman*]

с помощью curl удалось добиться того, что сервер возвращает ответ 200, но только если запросы идут через прокси burp, если не использую прокси или использую обычные прокси то возвращается 403.
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?

upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным

А на сишарпе без burp так и не получилось? на запросах.

 

[andrey-ka]

А на сишарпе без burp так и не получилось? на запросах.

Получилось. 8 версия curl с поддержкой TLS 1.3 все решила. Все летает

 

[ByMagnum]

Поддерживаю данную ветку, хочется чтобы разработчики зеннопостера отпилили все же какие то движения насчет обхода данной составляющей. tls палится после первых суток на ЛЮБЫХ проксях - протестировано на собственном горьком опыте...

Или может сделают кубик какой - то для работы с curl.exe? не? для различных задач вполне себе рабочее решение - ну мало ли кому что нужно реализовать - мне например пакетные закачки вполне бы для управления такое зашло ))) а то не возможно - банит на чем свет стоит ((( причем сеит ошибками 429 - видимо админы клауда ставят режект в версии энтерпрайз - есть там такое, давняя фича...

 

[selectel56]

с помощью curl удалось добиться того, что сервер возвращает ответ 200, но только если запросы идут через прокси burp, если не использую прокси или использую обычные прокси то возвращается 403.
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?

upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным

У меня похожая ситуация была недавно, делаю запросы через CURL - первый день норм. Потом не пашет, тестирую через бурп - норм, без него не хочет. Причем сервер поддерживает 1.1 и 1.2 TLS, в бурпе ставлю или в курл принудительно 1.1 - пашет, ставлю 1.2 - пашет, но только когда через бурп, а без него никак. На серверах некоторых есть защита, которая теперь смотрит как происходит приветствие при установке коннекта т.е. самые первые миллисекунды запроса где идет по сертификату коннект. Что то бурп делает такое, что все начинает пахать)) а что именно, загадка, нужно в этом направлении много почитать, сначала думал --chipers список шифрования палит как то или может свой сертификат клиентский как то отправляет туда или еще чего с компа улетает на сервер.

Еще один момент дополню: некоторые серверы также делают такую защиту - когда происходит рукопожатие то получаешь ключ tls коннекта, сервер внимательно следит чтобы этот ключ был использовать в определенных запросах, если же в каждом запросе будет ключ получаться заново - он сделает вид, что все прошло ОК, но не выполнит задачу или же поставит пометку в ответе FAKE фейк. При использовании курл - нельзя закрывать окно в определенных сеансах запроса, в ином случае сервер пошлет на 3 буквы или сделает вид, что все ок, но проигнорирует задачу, например не доставит вам смс.

 

[selectel56]

Друзья, есть отличная идея, думаю сработает как обходить защиту TLS fingerprint, а именно по нему и идет палево зенки и всего остального, и курл со временем тоже спалится, у меня курл тоже палить начали многие сервисы. Уже массово внедряют TLS защиту, короче тема такая: через OpenSSL делаем копию приветсвия Clien Hello а именно по нему и создается уникальный отпечаток где перчилсяются всякие шифры алгоритмы и тд, делаем копию и сохраняем сессию в pem файл и далее в курле уже его используем подключая эту сессию. Звучит запутанно и сложно, но 1 раз сделал и забыл, можно обойти все что угодно.

 

[Yuriy Zymlex]

Друзья, есть отличная идея, думаю сработает как обходить защиту TLS fingerprint, а именно по нему и идет палево зенки и всего остального, и курл со временем тоже спалится, у меня курл тоже палить начали многие сервисы. Уже массово внедряют TLS защиту, короче тема такая: через OpenSSL делаем копию приветсвия Clien Hello а именно по нему и создается уникальный отпечаток где перчилсяются всякие шифры алгоритмы и тд, делаем копию и сохраняем сессию в pem файл и далее в курле уже его используем подключая эту сессию. Звучит запутанно и сложно, но 1 раз сделал и забыл, можно обойти все что угодно.

Уже существует версия Curl, цель которой быть идентичной браузеру.

 

[selectel56]

Уже существует версия Curl, цель которой быть идентичной браузеру.

Поискал, не нашел, можно ссылку? Про такие версии это круто конечно, но все же есть помимо браузеров и моб приложения, с ними тогда с Curl просто так не получится.

 

[Yuriy Zymlex]

Поискал, не нашел, можно ссылку? Про такие версии это круто конечно, но все же есть помимо браузеров и моб приложения, с ними тогда с Curl просто так не получится.

GitHub - lwthiker/curl-impersonate: curl-impersonate: A special build of curl that can impersonate Chrome & Firefox

curl-impersonate: A special build of curl that can impersonate Chrome & Firefox - lwthiker/curl-impersonate

github.com

 

[selectel56]

GitHub - lwthiker/curl-impersonate: curl-impersonate: A special build of curl that can impersonate Chrome & Firefox

curl-impersonate: A special build of curl that can impersonate Chrome & Firefox - lwthiker/curl-impersonate

github.com

Хм.. очень интересно, но не для винды. Крутая штука и в исходниках можно покопаться полезного много найти для себя.

 

[Roman*]

Друзья, есть отличная идея, думаю сработает как обходить защиту TLS fingerprint, а именно по нему и идет палево зенки и всего остального, и курл со временем тоже спалится, у меня курл тоже палить начали многие сервисы. Уже массово внедряют TLS защиту, короче тема такая: через OpenSSL делаем копию приветсвия Clien Hello а именно по нему и создается уникальный отпечаток где перчилсяются всякие шифры алгоритмы и тд, делаем копию и сохраняем сессию в pem файл и далее в курле уже его используем подключая эту сессию. Звучит запутанно и сложно, но 1 раз сделал и забыл, можно обойти все что угодно.

Было бы неплохо, если получится выложить такой кусок шаблона.