• XSS.stack #1 – первый литературный журнал от юзеров форума

сообщества по автоматизации

Отслеживать

pentest_mentor

floppy-диск
Пользователь
Регистрация
02.01.2024
Сообщения
8
Реакции
0
столкнулся с проблемой что не получается найти ресурсы и сообщества для изучения автоматизации связанной с тематикой форума (чекеры, авторегеры, ретриверы, и тп)
могли бы посоветовать ресурсы?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Привет, как таковых сообществ по автоматизации я не видел. У меня есть статьи на эту тему, думаю подковырнешь для себя что-то новое это уж точно.
https://xss.pro/threads/130273/
https://xss.pro/threads/130241/
https://xss.pro/threads/130170/
https://xss.pro/threads/128745/
https://xss.pro/threads/128553/
Для понимания так-же стоит разобраться в теории HTTP-запросов (https://developer.mozilla.org/ru/docs/Web/HTTP/Methods), и неплохо было бы понимать как вообще впринципе работает бэкэнд сайта (пописать пару пет-проектов на джанго с авторизацией, регистрацией и другими соответствующими функциями). В рамках нынешнего интернета наврятле ты столкнешься с чем-то легким, если это не ПО, которое было написано давным-давно, и это так оставили просто потому что ра-бо-та-ет. В качестве банально примера, давай посмотрим авторизацию тут же, на xss. Включаешь запись запросов в инструментах разработчика, пробуешь логиниться, находишь его и видишь там вот такое.
1736230562550.png

Простенький POST-запрос, где отправляем логин, пароль, некий xfToken, и пару решений капч (гугловская и hcaptcha). Такие штучки как xfToken, ты можешь найти в самом коде элемента страницы (или в других запросах, который летели до этого), вот тут оно и лежит.
1736230642073.png

То есть по итогу у тебя автоматизация заключается в том, чтоб ты сначала через GET-запрос получил вот это значение токена, после разобраться с капчей, но к сожалению или к счастью сейчас никак её не автоматизируешь (у меня банально даже не получается найти сервис, который будет решать Hcaptcha с нормальным процентом успеха), гугловскую рекапчу поддерживают куча сервисов и сейчас, тут легко её найти, после чего собираешь окончательный пейлод к отправке POST-запроса, засылаешь его и сверяешься от ответа. Я бы посоветовал валидировать аккаунты либо по кукисам, который у тебя будут в 'response.headers', либо же по контенту, который появляется в случае входа/не входа.
Как-то так, основная суть всех этих чекеров если оттолкнуть все защиты, то надо думать как разраб, который сидел по ту сторону экрана. Если у тебя всё так-же остались вопросы, то задавай, буду рад ответить.

UPD.
Если не хочешь особо париться с запросами и другими защитами, которые есть из-за того, что это все идет в браузере. Посмотри в сторону playwright, selenium, эмуляторы браузеров, там просто ищешь нужные элементы, делаешь инпуты туда, клацаешь по кнопкам. Мой совет это всегда доставать элементы по XPATH, а не как либо по другому, но это вопрос удобства, каждый может делать как хочет, исходя из своего опыта, проб, ошибок. По этому пробуй, начинай. Главное положить начало, а остальное придет само со временем, если у тебя есть интерес к этому делу.
 
Последнее редактирование:
chiefchain сказал(а):
Привет, как таковых сообществ по автоматизации я не видел. У меня есть статьи на эту тему, думаю подковырнешь для себя что-то новое это уж точно.
https://xss.pro/threads/130273/
https://xss.pro/threads/130241/
https://xss.pro/threads/130170/
https://xss.pro/threads/128745/
https://xss.pro/threads/128553/
Для понимания так-же стоит разобраться в теории HTTP-запросов (https://developer.mozilla.org/ru/docs/Web/HTTP/Methods), и неплохо было бы понимать как вообще впринципе работает бэкэнд сайта (пописать пару пет-проектов на джанго с авторизацией, регистрацией и другими соответствующими функциями). В рамках нынешнего интернета наврятле ты столкнешься с чем-то легким, если это не ПО, которое было написано давным-давно, и это так оставили просто потому что ра-бо-та-ет. В качестве банально примера, давай посмотрим авторизацию тут же, на xss. Включаешь запись запросов в инструментах разработчика, пробуешь логиниться, находишь его и видишь там вот такое.
Посмотреть вложение 101461
Простенький POST-запрос, где отправляем логин, пароль, некий xfToken, и пару решений капч (гугловская и hcaptcha). Такие штучки как xfToken, ты можешь найти в самом коде элемента страницы (или в других запросах, который летели до этого), вот тут оно и лежит.
Посмотреть вложение 101462
То есть по итогу у тебя автоматизация заключается в том, чтоб ты сначала через GET-запрос получил вот это значение токена, после разобраться с капчей, но к сожалению или к счастью сейчас никак её не автоматизируешь (у меня банально даже не получается найти сервис, который будет решать Hcaptcha с нормальным процентом успеха), гугловскую рекапчу поддерживают куча сервисов и сейчас, тут легко её найти, после чего собираешь окончательный пейлод к отправке POST-запроса, засылаешь его и сверяешься от ответа. Я бы посоветовал валидировать аккаунты либо по кукисам, который у тебя будут в 'response.headers', либо же по контенту, который появляется в случае входа/не входа.
Как-то так, основная суть всех этих чекеров если оттолкнуть все защиты, то надо думать как разраб, который сидел по ту сторону экрана. Если у тебя всё так-же остались вопросы, то задавай, буду рад ответить.

UPD.
Если не хочешь особо париться с запросами и другими защитами, которые есть из-за того, что это все идет в браузере. Посмотри в сторону playwright, selenium, эмуляторы браузеров, там просто ищешь нужные элементы, делаешь инпуты туда, клацаешь по кнопкам. Мой совет это всегда доставать элементы по XPATH, а не как либо по другому, но это вопрос удобства, каждый может делать как хочет, исходя из своего опыта, проб, ошибок. По этому пробуй, начинай. Главное положить начало, а остальное придет само со временем, если у тебя есть интерес к этому делу.

спасибо, теперь начинает складываться картина)
кстати, а мог бы подсказать как hcaptcha обойти? был бы очень благодарен! я знаю питон и работал с django, selenium, и тп, но все месте не получалось связать

а если не секрет, как вообще разбирался и изучал это?
 
В комьюнити софта и фреймворков автоматизации, например форуме зенопостер или бас https://community.bablosoft.com/recent
pentest_mentor сказал(а):
как hcaptcha обойти
Десятки всяких сервисов типо рукапча, антикапча и т.д где индусы разгадывают их 1000шт за 2$. В басе просто выбираешь сервис, api ключ вставляешь, выбираешь селектор и все, никакого пердолинга с запросами
1736269792117.png


upd
А, тред в разделе питона, но ладно всеравно пусть будет тут. Люблю браузерные автоматизации т.к там все гораздо проще и можно быстро реализовать свою идею, а медленность и тяжесть компенсировать мощным железом.
На запросах бывает пока что то пишешь, разбираешь с токенами, куками, хуюками и т.д через месяц в запросах уже что то помяется и уже опять надо переделывать. А в браузере это все в фоне, и если селекторы не поменяются то будет все рбаотать много лет
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
pentest_mentor сказал(а):
спасибо, теперь начинает складываться картина)
кстати, а мог бы подсказать как hcaptcha обойти? был бы очень благодарен! я знаю питон и работал с django, selenium, и тп, но все месте не получалось связать

а если не секрет, как вообще разбирался и изучал это?
Самому бы знать как HCAPTCHA обойти =)
Как и говорил в сообщении ранее, сейчас даже сервисов под решение этой шайтан-машины нет. А по второму вопросу, честно, сам не знаю. Практикуйся, пробуй всякие вещи, эксперементируй. В этой сфере мне кажется наврятле когда нибудь будет точный алгоритм как написать чекер/авторегер/etc. Каждый сервис уникален, в этом и есть проблема. Тут реально стоит просто делать, набивать руку/знания, а не пытаться забить себе мозг теорией.

dunkel сказал(а):
В комьюнити софта и фреймворков автоматизации, например форуме зенопостер или бас https://community.bablosoft.com/recent

Десятки всяких сервисов типо рукапча, антикапча и т.д где индусы разгадывают их 1000шт за 2$. В басе просто выбираешь сервис, api ключ вставляешь, выбираешь селектор и все, никакого пердолинга с запросами
Посмотреть вложение 101483
Отправь пожалуйста такие сервисы, ни на одном из них в нынешнее время, к сожалению, нет решалок под Hcaptcha. Буду безмерно благодарен!
 
chiefchain сказал(а):
Самому бы знать как HCAPTCHA обойти =)
Как и говорил в сообщении ранее, сейчас даже сервисов под решение этой шайтан-машины нет. А по второму вопросу, честно, сам не знаю. Практикуйся, пробуй всякие вещи, эксперементируй. В этой сфере мне кажется наврятле когда нибудь будет точный алгоритм как написать чекер/авторегер/etc. Каждый сервис уникален, в этом и есть проблема. Тут реально стоит просто делать, набивать руку/знания, а не пытаться забить себе мозг теорией.


Отправь пожалуйста такие сервисы, ни на одном из них в нынешнее время, к сожалению, нет решалок под Hcaptcha. Буду безмерно благодарен!
2captcha могу посоветовать, если устанавливать библиотеку на питон то там будет метод hcaptcha, какой то токен присылает но не знаю работает или нет

а насчет моего вопроса, я не прошу готовую дорожку или что-то вроде, просто не знаю куда дальше двигаться и что изучать, чтобы разобраться как оно вообще под капотом работает, я слышал про JA3, сертификаты, WAF, но что это и откуда хз
 
chiefchain сказал(а):
Отправь пожалуйста такие сервисы, ни на одном из них в нынешнее время, к сожалению, нет решалок под Hcaptcha. Буду безмерно благодарен!
я не пробовал но нашел https://brightdata.com/products/web-unlocker/captcha-solver/hcaptcha
еще можно кастомную капчу отправить индусу он ее решит https://anti-captcha.com/ru/apidoc/task-types/AntiGateTask
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх