暇つぶしにさんGのスクリプト色々作ってる (57)

1 名無しさん (ﾌﾞｰｲﾓ MM-8164ec2c4196f882) 2023/02/26(日) 01:13:11 ID:FqdLulqXM7

!jien
!バルサン
!idchange

ちな素人
※バルサン(Lv2以下書込禁止)
※スレ独自ID
※自演防止＠jien

13 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 01:26:55 ID:vuuByTpB07

burpsuiteからオレオレ証明書入れて串刺してフロー取れば一発やで

14 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:26:59 ID:77hC88tl0E

>>10
詳しいニキいた
Fは手動でcookieとsessionID作って
それを荒らしに使ってるんじゃないかと思ってるんだけど、ちゃうのか
それでもcert値が動的だと難しいけど

いずれにしても、現状の専ブラを偽装してないと
荒らすのは難しいから同じことやってんちゃうかと

15 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:28:26 ID:77hC88tl0E

あー、ローカルに串作るのか
なるほどー

16 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 01:28:58 ID:T86Een1O02

どのようにして通信を暗号化
要はhttpsを実現しているのかをちゃんと理解するんやで
その上でそれらMITMするツールを再度利用しTCP/IPをちゃんと理解して作り直せばある程度は答えが出てくるから
あとhtmlもよく読むんや

17 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:32:33 ID:77hC88tl0E

>>16
難しくてわかんないよぉ🤥

18 名無しさん (ｱｳｱｳｱｰ Sa-2e42fb4dd79c06a0) 2023/02/26(日) 01:33:07 ID:pQM34jYyaE

頭良さそう

19 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 01:35:10 ID:T86Een1O02

>>14
3chのヘッダは見てないからわからんがブラウザからの投稿とか見てりゃそのうちわかると思うわ
何なら専ブラが最大の脆弱性となってることを理解すれば見なくてもある程度予想はつく
そこからやれる内容を予測するならやれることはかなり少ないから多分そんなに難しくはない
スクリプトが生成する文字列に関しても今どきはコピペで出来るし何も難しいことはしてない
コードとしてはやが
マルコフ連鎖自体の数式等をちゃんと追うなら多少は面倒やがそんなのは知らなくても使える

20 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:35:30 ID:77hC88tl0E

>>18
連休中ちんちんいじるしかやることなかったからだよ😡

21 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:35:36 ID:vuuByTpB07

cloudflareはWAF Bypassの目がなければ素直にAPI keyに事前に作ったkey付与してポストしてるだけやろ

22 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 01:39:26 ID:T86Een1O02

Fが嫌っていそうなまともな勉強が必要になりそうな言い方するのがええで
学習曲線の勾配が高そうに思わせるとあいつは引くと思う
そこまでして知りたい人が残ればええ
ろくなもんに使える分けちゃうから
通常のサービスならAPI叩くからそんな知識はいらんし
今はTwitterが荒れてるからAPIすら微妙になりつつあるが基本はAPIやし

23 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:39:59 ID:77hC88tl0E

>>21
Cloudflare Turnstileの仕様がわからないから
なんとも言えんのだけど、セッションID発行時に
生成したkeyを使い回してるってことかな？

24 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 01:44:07 ID:ioGARV9Q00

頭良さそう
ワイとエロゲつくろうや

25 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:44:48 ID:77hC88tl0E

なんか概要が書いてあるけど難しい😡

https://blog.cloudflare.com/ja-jp/turnstile-private-captcha-alternative-ja-jp/

26 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:45:53 ID:77hC88tl0E

>>19
マルコフ連鎖はライブラリあるよね
ワイでも使えた

27 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:46:47 ID:77hC88tl0E

>>24
ワイはエロゲやってちんちんいじりたいんや😡

28 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:52:38 ID:vuuByTpB07

>>23
最近の専ブラの仕様しらんけどWrtAgreementkeyが認証用じゃね
あとはそれをどうやって食わせるか、チビビがどういう環境でやってるか知らんけどブラウザ必須でもheaderlessで起動すりゃ
スクリプト動かすくらいできるやろ
戻りはresponseのReport-Toから下読むと読めばいい

29 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 01:53:29 ID:T86Een1O02

レス吸われるな
別にええか

30 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 01:54:06 ID:T86Een1O02

>>26
使えちゃうしFでも使えるから細かい内容は言えんのやで

31 名無しさん (ｱｳｱｳｸｰ MM-c9743aadd729b46e) 2023/02/26(日) 01:55:16 ID:8wtOMyE5MC

ワイセキュリティなのに何言ってるのか全然分からん

32 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 01:59:11 ID:77hC88tl0E

>>28
なんか難しくてよくわからんけど、調べてみる
なんかすごく参考になったサンガツ

33 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:01:11 ID:77hC88tl0E

>>31
ワイもなんかよくわからんくなってちんちんいじりたくなってきた

34 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:01:36 ID:T86Een1O02

>>31
L5くらいは意識するやろ？

35 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:03:38 ID:77hC88tl0E

seleniumのheadlessモードってそういうことやったんか。あんまり深く考えてなかった

36 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:05:32 ID:77hC88tl0E

seleniumのheadlessだとあんまりロマンがないよね

37 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:05:35 ID:T86Een1O02

>>28
ヘッドレスくらいなら簡単に対策も対策の対策も出来る
もっと複雑にやるんやで
googleはUA偽装すると超高確率で見抜いてくるで
webブラウザごとの実装の違いを理解することが大事や
あとは環境の違い
あいつには理解できないと思うから多分これは言っても大丈夫やとは思うんやけどこれ以上は言わん

38 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:09:48 ID:8zRbwnpg0F

流石にこういうのはディスコとかでやったほうがええんとちゃうか
垂れ流しはまずいやろ

39 名無しさん (ｱｳｱｳｸｰ MM-c9743aadd729b46e) 2023/02/26(日) 02:09:52 ID:8wtOMyE5MC

>>34
セッション層てことけ
レイヤ以前に>>21くらいから知らん単語増えて良うわからんわ

40 名無しさん (ｽﾌﾟﾌﾟ Sd-2e7593f049e6208f) 2023/02/26(日) 02:12:11 ID:nral1ATedE

>>38
運営の一人も見てるからある意味そこは安心やな🙄

41 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:14:06 ID:T86Een1O02

>>38
ガチの内容は言わん
>>39
WAF知らないってことは（webではない）アプリケーションとかのセキュリティなんやろか？
セキュリティ屋ではないワイですら知っとるからやられ役サーバー立てるなりしてセルフ攻撃して遊ぶことで他のことのセキュリティに活かせるかもしれん
そのレスは特に難しいことは言ってない

42 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:15:45 ID:77hC88tl0E

専ブラもそうなんだけど、セッションだかコネクション貼るときの製品ごとの違いってどこに現れるんやろ？UA以外に。
CookieのSecure 属性？

43 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:16:23 ID:77hC88tl0E

>>38
ここで穴が指摘されたら塞ぐやろ

44 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:16:33 ID:T86Een1O02

手元にあるやん？
試すのが一番や

45 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:17:28 ID:T86Een1O02

>>43
メールなりで送るのが常套手段なんやで
この手のは最悪捕まるから
メールで送ってもこの国やと訴えられたり捕まりかねんが

46 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:20:18 ID:77hC88tl0E

Flaskめんどいな
http.serverでいけるやろか

47 名無しさん (ｱｳｱｳｸｰ MM-c9743aadd729b46e) 2023/02/26(日) 02:24:07 ID:8wtOMyE5MC

>>41
wafは知っとるがwaf bypassが何なのか(回避の言い回し？それとも固有名詞？)
waf bypassの目とは何なのか
なんでCloudflareがそれをしようとしてるのか良うわからん
全体的にレイヤ高目の話しとるからnwよりのワイはそもそも認識が違ってるまである

48 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:29:07 ID:77hC88tl0E

あ、クッキーとらなあかんか
めんどいわ

49 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:32:41 ID:T86Een1O02

>>47
バイパスはBypassのそのままの意味やで
なんかのライセンスをゴニョゴニョするのと同じときと同じ意味のバイパス
目は目処が立つとかの目や
やるのはユーザーであってCouldflareちゃうで
Couldflareに関してはDDoSプロテクションとかと同じレイヤーちゃうの？
知らんけど

50 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:37:49 ID:77hC88tl0E

めんどくさいからburpsuiteでやるか
https://dev.classmethod.jp/articles/burp-suite/

51 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 02:40:50 ID:77hC88tl0E

ゆめちゃん疲れたよぉ🤥
>>13ありがとねぇ

52 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:41:51 ID:vuuByTpB07

>>49の通りやね、waf bypass狙わずにやるとして普通に処理かけんなら〜って意味合い
NWみたいだけどwafやlbとかネットワークの領域だからアプリケーション側の処理わかるようになるといいよ
まあここに書いてることF12押せば見れる範囲だしええやろ

53 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:45:22 ID:T86Een1O02

>>52
F12でわかる範囲もピンキリな部分あるし🙄
コード書けちゃうから
あいつはF12さえ知らなそうやからわいはあんまり言いたくなかったなぁ

54 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:46:09 ID:vuuByTpB07

>>53
F12が高度スキルとか思わんかった😨

55 名無しさん (ﾜｯﾁｮｲW) 2023/02/26(日) 02:48:48 ID:T86Een1O02

>>54
関数使えんやつやぞ

56 名無しさん (ｱｳｱｳｸｰ MM-c9743aadd729b46e) 2023/02/26(日) 02:49:28 ID:8wtOMyE5MC

>>52
APよりの固有の言い回しかと思ったがそのままでええのか
なんとなくリバプロでヘッダー付与してるくらいの話だと理解した

57 名無しさん (ﾜｯﾁｮｲ) 2023/02/26(日) 03:05:16 ID:77hC88tl0E

ワイくんもうねるよぉ🤥