Создание проектов на Private Keeper

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
7,248
Реакции
34
Основная информация которая поможет новичкам разобраться с проблемой написания своего первого проекта.
Для примера возьмем сферический сайт в вакууме. Самый средний, где в авторизации отсутствует капча, но присутствует некий токен, а также требуется парсить баланс со странице профиля.
50%+ сайтов (ака сервисов) именно такие.

Первое и важное. Для работы вам понадобится сниффер.
Это такой "софт", который анализирует трафик вашей сети и рассказывает что да как. Выбираем на свой вкус.
Можно использовать встроенный в хроме, но не нужно, это не удобно.
Можно самый навороченный а-ля фидлер, но рискуете не понять как запустить это чудо.
Посоветую - HttpAnalyzerV7.

Открыли HttpAnalyzerV7 + браузер (выкл впн). Нажимаем кнопку старт.
EWHWjQ2KRPWTbRrXwR7kOA.png



Открываем сайт на который планируете писать брут и авторизируемся.
Если сниффер работает корректно увидите n количество успешно отсниффаных запросов.
Ищем запрос с авторизацией. По методу это будет POST. Тыкаем на него и смотрим во вкладку пост даты.
qNqJBW1OSUq1eoJ7EnFO5g.png

Видим логин,пароль и некий токен CSRF. В вашем случае могут быть дополнительные токены или их полное отсутствие, капча и т.п. На "простых" сайтах ничего кроме логина, пароля и токена вы не уведите.

Возвращаемся к киперу.
Открываем редактор (шестеренка в меню). Написание и редактирование проектов происходит в данном окошке.
vs8Lu1aeTi6x_ifWjQl9rg.png

На сервисе присутствует csrf токен. Это автоматически означает что проект будет в как минимум, два запроса.
Окно "Список запросов" позволяет редактировать, добавлять и удалять запросы проекта.
DVgpYFjcTjSsenQVkI4U4Q.png

В "Название запроса" указываете название (кэп). Называем так что бы открыв проект через пол года вы сразу понимали что к чему. На работу проекта название запроса никак не влияет.
Ждем "Добавить запрос в список"
VVJWSLnETuO-eLPwQGrvgg.png



Дабл кликом ЛКМ выделяем запрос и работает с ним.
Задачей первого запроса будет парс токена.
Токен носит название csrf. Идем на главную сайта, открываем код страницы и тупо ищем название в коде. Не нашли на главной странице пробуем найти на странице авторизации. Строчка будет выглядеть примерно так <input type="hidden" name="CSRFToken" value="b55a355f-367d-43de-bb21-ed490db0225e" />
Тип запроса - GET
RCnJQk-GQ4mlz8aAbthQ7w.png



В строку ссылка вписываем ссылку на страницу где обнаружили токен
-uGbHfbLRXq02BEiL6_wZA.png

Переходим в эту часть интерфейса
c_ryVYCwTsqbTnE55W8eqA.png



Тип парсинга - Обычный парс
От (что-то до токена в коде странице) - <input type="hidden" name="CSRFToken" value="
До (что-то после токена в коде странице) - " />
Нажимаем "Добавить"
bgWLCXDeSfesVPWekQqRwA.png

В окне работы с запросами ждем - Применить.
Проверяем дабы убедиться все ли идет по плану.
kz2VRX1KQsuS2V3Kelgejw.png

Все ок, идем дальше.
Создаем новый запрос PK, в нем будет авторизация. Возвращаемся к снифферу и ранее найденному POST запросу.
Тип запроса - POST
pyaZpf0aTtaFdiRLEjDr8g.png



В строку ссылка вставляем ту которая указана в HttpAnalyzerV7 графа URL
Обработка редиректов. Если после авторизации идет один или несколько редиректов(перенаправлений) на другие страницы указываем это. Ставим Да + число кол-во редиректов. Узнать кол-во поможет сниффер, внимательно просмотрите список запросов.
Тип данных. Указан в заголовках запроса HttpAnalyzerV7 . Строка Content-Type.
h37JhWyCRuScg0tLuZKtpA.png

Пост данные берем также из сниффера с вкладке Post Data в виде
log=hey2123&pas=pase2ddd&CSRFToken=b55a355f-367d-43de-bb21-ed490db0225e

Меняем переменные
Вместо log=hey2123& пишем log=|LOGIN|&
Вместо pas=pase2ddd& пишем pas=|PWD|&
Вместо CSRFToken=b55a355f-367d-43de-bb21-ed490db0225e пишем CSRFToken=|PARS|[1]
В итоге получается так - log=|LOGIN|&pas=|PWD|&CSRFToken=|PARS|[1] В этом виде переносим в строку пост данные PK. Будьте внимательные, не удалите ничего лишнего типа значков & и прочего.
Почему именно |PWD| а не |PASSWORD|? А ты читал справку? В ней много полезной информации, ознакомься.
gsTG2MuiQk221lqUFgZc_w.png

По желанию рандомизируем список юзерагентов ( Редактировать список юзерагентов - Открыть базу юзерагентов - Передать весь список в редактор)
Дополнительные заголовки оставляем пустыми, большинство проектов будет работать и так. Если не работает пробуем добавлять заголовки запроса (Origin,Refer и т.д.) На "сложных" сайтах будет не работать если оставите пустыми, это важно. но не в данном примере.

Самое главное - определение гуда и беда. Это те параметры по которым проект должен понять какие аккаунты есть плохие, а какие есть хорошие. Здесь нет универсальных определений, они всегда зависят от конкретного сайта.
Как пример, делаем определение по ответу (RESPONSE).
Анализируем ответ успешной авторизации, находим строку - <a href="/logout/"> с ссылкой на логаут с акка, понимает что такая встречается исключительно при гуде. Вот и определение.
Бед по аналогии, строка с ссылкой на вход в коде странице будет только если он не был произведен.
fJ3PJrD0S96HiUhVsmUgrA.png

Понимание того каким должно быть определение гуда и беда появиться с опытом, вариантов десятки, если не сотни.
Осталось допилить парс необходимых данных - баланс, уровень или то что нужно вам. В примере парс можно получить в том же запросе, иногда для парса требуется дополнительный GET запрос.
Все по аналогии с парсом токена. Открыли страницу гуда, нашли значение в коде посмотрели между чем оно находится и добавили в кипер.
dL_QeXCLTw_5KkknSogRSg.png

Не забудьте сменить индекс (1 у нас токен). Пустота на выходе по умолчанию идет в ошибки, это значит что если по каким либо причинам кипер не сможет спарсить информацию (после успешной авторизации) строка базы полетит в ошибки. Меняйте на Пустота на выходе хороший результат. Гуд будет отображаться в логе но без парса, затем доведете проект до ума, поняв почему так происходит.
Жмем - Применить.
Почти готово, проверим проект.

Справка и установка параметров.
f0z9MvtrRje2ueAP7LKGDg.png

Вписываем сюда данные для входа через :
yzG_zi-3TQmzIJZW2irBpg.png

cAQ7AQ4sRumKD4jSkJFnyQ.png

Что бы проверить корректность определения беда указываем неверные данные для входа на сайт. Что бы проверить корректность определения гуда указываем верные данные для входа на сайт. Перейти к настройкам проекта
5535d350ffa88e1776d94.png

HW0iGMDMTYSazTQQpeft4A.png

Указываем название. Называть принято по URL сайта на который написан проект.
Редактируем вид лога. (Пример. Мы парсим баланс в Парс с индексом 2, добавляем|PARS|[2] и воля баланс в логе)
Сохраняем. Готово.

По началу на один проект вы будете убивать часы времени, но когда сделаете овер сотни, процесс будет занимать не более получаса.
Став гуру в этом деле, вы гарантировано не останетесь без работы
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.