- Joined
- Nov 6, 2018
- Messages
- 11,789
- Reaction score
- 5,725
- Points
- 113
там же рабочий обход клауда с использованием браузера
нафига изобретать велосипед, если в зенке и так есть браузер, который в последних версиях проходит клауд ?
Обход Cloudflare в экшенах запросов
- Thread starter ukrainec2014
- Start date
нафига изобретать велосипед, если в зенке и так есть браузер, который в последних версиях проходит клауд ?
я думаю ты и сам справишьсяДеннги нннада? Сделаешь готовое решение?
Кажется, под мою задачу несложно должно быть для человека понимающего, что к чему...
А в чем прикол, Курл на рабочем компе (вин10) проходит на конкретном сайте, а на сервере (винсерв 16), тот же курл, тот же запрос - нет?
не помогло. где-то была инфа, что на старых версиях ОС нету поддержки ТЛС1.3, может в этом дело. так что пора переходить на другую ОС)
еще интересно что на винсерве заголовки ответа HTTP/2 403, а на 10 винде HTTP/1.1 200 OK, т.е на сервере почему-то передается запрос не так...
Last edited:
ну по ответу видно что на сервере хттп2 а на десятке хттп 1.1.
Попробуй отправить с такими аргументами-
--ciphers TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES256-SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,AES128-SHA,AES256-SHA --http2 --http2-no-server-push --false-start --compressed --tlsv1.2 --no-npn --alps --cert-compression brotli --location
ЮА используй этот - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
andrey-ka
Client
- Joined
- Jun 3, 2018
- Messages
- 853
- Reaction score
- 246
- Points
- 43
За 2 года темы решения так и не появилось? Я заметил, что при работе с моим сайтом важна последовательность отправляемых заголовков, т.е. если отправить в "нужно последовательности" то сайт возвращает ответ 200, если последовательность нарушается то сайт говорит 403:
работает:
Accept: application/json
User-Agent: androidApp
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate
НЕ работает:
User-Agent: androidApp
Accept: application/json
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate
Стандартный, альтернативный запрос зенки не справляется. Альтернативный отправляет сами заголовки в нужной последовательности, но user-agent лепит не туда куда нужно (
работает:
Accept: application/json
User-Agent: androidApp
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate
НЕ работает:
User-Agent: androidApp
Accept: application/json
Locale: en_US
Accept-Language: en-US
Accept-Encoding: gzip, deflate
Стандартный, альтернативный запрос зенки не справляется. Альтернативный отправляет сами заголовки в нужной последовательности, но user-agent лепит не туда куда нужно (
UA в зенке всегда первым должен быть вроде, иначе не работает кубик вовсе. Или нет?
andrey-ka
Client
- Joined
- Jun 3, 2018
- Messages
- 853
- Reaction score
- 246
- Points
- 43
one
Client
- Joined
- Sep 22, 2015
- Messages
- 6,849
- Reaction score
- 1,276
- Points
- 113
Может по этому на экшенах не реализовать решения т.к. надо обязательно указывать первым UA.
andrey-ka
Client
- Joined
- Jun 3, 2018
- Messages
- 853
- Reaction score
- 246
- Points
- 43
с помощью curl удалось добиться того, что сервер возвращает ответ 200, но только если запросы идут через прокси burp, если не использую прокси или использую обычные прокси то возвращается 403.
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?
upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?
upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным
Last edited:
Roman*
Client
- Joined
- Sep 25, 2013
- Messages
- 1,657
- Reaction score
- 656
- Points
- 113
А на сишарпе без burp так и не получилось? на запросах.с помощью curl удалось добиться того, что сервер возвращает ответ 200, но только если запросы идут через прокси burp, если не использую прокси или использую обычные прокси то возвращается 403.
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?
upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным
andrey-ka
Client
- Joined
- Jun 3, 2018
- Messages
- 853
- Reaction score
- 246
- Points
- 43
Получилось. 8 версия curl с поддержкой TLS 1.3 все решила. Все летает
ByMagnum
Client
- Joined
- Jul 28, 2017
- Messages
- 37
- Reaction score
- 7
- Points
- 8
Поддерживаю данную ветку, хочется чтобы разработчики зеннопостера отпилили все же какие то движения насчет обхода данной составляющей. tls палится после первых суток на ЛЮБЫХ проксях - протестировано на собственном горьком опыте...
Или может сделают кубик какой - то для работы с curl.exe? не? для различных задач вполне себе рабочее решение - ну мало ли кому что нужно реализовать - мне например пакетные закачки вполне бы для управления такое зашло ))) а то не возможно - банит на чем свет стоит ((( причем сеит ошибками 429 - видимо админы клауда ставят режект в версии энтерпрайз - есть там такое, давняя фича...
Или может сделают кубик какой - то для работы с curl.exe? не? для различных задач вполне себе рабочее решение - ну мало ли кому что нужно реализовать - мне например пакетные закачки вполне бы для управления такое зашло ))) а то не возможно - банит на чем свет стоит ((( причем сеит ошибками 429 - видимо админы клауда ставят режект в версии энтерпрайз - есть там такое, давняя фича...
selectel56
Client
- Joined
- Dec 11, 2016
- Messages
- 102
- Reaction score
- 53
- Points
- 28
У меня похожая ситуация была недавно, делаю запросы через CURL - первый день норм. Потом не пашет, тестирую через бурп - норм, без него не хочет. Причем сервер поддерживает 1.1 и 1.2 TLS, в бурпе ставлю или в курл принудительно 1.1 - пашет, ставлю 1.2 - пашет, но только когда через бурп, а без него никак. На серверах некоторых есть защита, которая теперь смотрит как происходит приветствие при установке коннекта т.е. самые первые миллисекунды запроса где идет по сертификату коннект. Что то бурп делает такое, что все начинает пахать)) а что именно, загадка, нужно в этом направлении много почитать, сначала думал --chipers список шифрования палит как то или может свой сертификат клиентский как то отправляет туда или еще чего с компа улетает на сервер.с помощью curl удалось добиться того, что сервер возвращает ответ 200, но только если запросы идут через прокси burp, если не использую прокси или использую обычные прокси то возвращается 403.
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?
upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным
Еще один момент дополню: некоторые серверы также делают такую защиту - когда происходит рукопожатие то получаешь ключ tls коннекта, сервер внимательно следит чтобы этот ключ был использовать в определенных запросах, если же в каждом запросе будет ключ получаться заново - он сделает вид, что все прошло ОК, но не выполнит задачу или же поставит пометку в ответе FAKE фейк. При использовании курл - нельзя закрывать окно в определенных сеансах запроса, в ином случае сервер пошлет на 3 буквы или сделает вид, что все ок, но проигнорирует задачу, например не доставит вам смс.
Last edited:
selectel56
Client
- Joined
- Dec 11, 2016
- Messages
- 102
- Reaction score
- 53
- Points
- 28
Друзья, есть отличная идея, думаю сработает как обходить защиту TLS fingerprint, а именно по нему и идет палево зенки и всего остального, и курл со временем тоже спалится, у меня курл тоже палить начали многие сервисы. Уже массово внедряют TLS защиту, короче тема такая: через OpenSSL делаем копию приветсвия Clien Hello а именно по нему и создается уникальный отпечаток где перчилсяются всякие шифры алгоритмы и тд, делаем копию и сохраняем сессию в pem файл и далее в курле уже его используем подключая эту сессию. Звучит запутанно и сложно, но 1 раз сделал и забыл, можно обойти все что угодно.
- Joined
- Oct 24, 2016
- Messages
- 6,559
- Reaction score
- 3,388
- Points
- 113
selectel56
Client
- Joined
- Dec 11, 2016
- Messages
- 102
- Reaction score
- 53
- Points
- 28
Поискал, не нашел, можно ссылку? Про такие версии это круто конечно, но все же есть помимо браузеров и моб приложения, с ними тогда с Curl просто так не получится.
- Joined
- Oct 24, 2016
- Messages
- 6,559
- Reaction score
- 3,388
- Points
- 113
GitHub - lwthiker/curl-impersonate: curl-impersonate: A special build of curl that can impersonate Chrome & Firefox
curl-impersonate: A special build of curl that can impersonate Chrome & Firefox - lwthiker/curl-impersonate
github.com
selectel56
Client
- Joined
- Dec 11, 2016
- Messages
- 102
- Reaction score
- 53
- Points
- 28
Хм.. очень интересно, но не для винды. Крутая штука и в исходниках можно покопаться полезного много найти для себя.GitHub - lwthiker/curl-impersonate: curl-impersonate: A special build of curl that can impersonate Chrome & Firefox
curl-impersonate: A special build of curl that can impersonate Chrome & Firefox - lwthiker/curl-impersonategithub.com
Roman*
Client
- Joined
- Sep 25, 2013
- Messages
- 1,657
- Reaction score
- 656
- Points
- 113