Autor Zpráva
Serg
Profil *
Ahoj, dá se nějak nastavit přesměrování HTTPS požadavků z nějaké aplikace zpět na ten samý PC a upravit ho? Tedy vytvořit takový záměrný MITM útok sám na sebe.

Příklad:
Mám sdílené připojení a skoro pořád jen dokazuju že nejsem robot. Na prohlížeči to ještě jde, ale na herních klientech už ne, a jen to napíše, že je server mimo provoz (i když vím, že není, a blokuje to ta catpcha).
Tak mě napadlo směrovat HTTPS požadavky z toho klienta zpět na svůj PC, na kterém bych si napsal nějaký program, který by ten požadavek nejdřív otevřel v prohlížeči, tam bych klasicky potvrdil že nejsem robot, získal by se token, a pak by se při každém požadavku na stejnou doménu přidal do požadavku ten token.

Mohlo by se to omezit buď jen podle cílové domény nebo aplikace která ten požadavek vytvořila.
Pokud vím, tak firewall umí povolit nebo zablokovat požadavky, uměl by je i přesměrovat? Nebo když ne firewall, tak existuje nějaký program, který by to uměl? Nebo bude potřeba nějak nastavovat router?
Kajman
Profil
Obecně si v hosts můžete přepsat DNS záznamy. Tedy nastavit si tam např. lokální IP adresu pro nějakou doménu. Tu doménu si budeme muset podepsat nějakým svým klíčem, kterému bude muset aplikace věřit (možná má vlastní seznam CA a nevěří systémových certifikačním autoritám).

Pokud ale aplikace má v sobě veřejný klíč, kterým se získaný token ověřuje, zda byl podepsaný soukromým klíčem na serveru, tak nestačí dát jakýkoliv token. On stejně ten herní klient asi potřebuje odezvy serveru a pro funkčnost toho bude potřeba víc.

Nejjednodušší mi přijde si připlatit u poskytovalele např. 50 Kč měsíčně za vlastní IP adresu. Je možné, že na té síti jsou nějaká zavirovaná zařízení, díky kterým roste nedůvěra serverů k požadavkům z ní.
Serg
Profil *
Aha děkuju, na hosts soubor jsem úplně zapomněl. Akorát tam by pak byl problém že bych to už nedostal ven a pořád by se to jen vracelo na localhost.

Měl jsem na mysli spíš tohle:
Požadavek na config.riotgames.com -> Virtuální síťový adapter 1 -> Přesměrování na localhost -> Přečtení požadavku v PHP -> Vytvoření socketu se stejným požadavkem a přidaným _catpcha klíčem aby to nezablokoval Cloudflare -> Normální síťový adaptér 1 -> Internet -> Odpověď od serveru -> Socket v PHP -> Předání odpovědi klientovi

Akorát nevím jak by šlo nastavit pro každý adaptér jiný hosts soubor. Ale možná by to šlo nějak udělat přes lokální DNS server, ale to zase všechny články radí upravit hosts soubor, ale já potřebuju, aby to v jednom případě odkazovalo na 127.0.0.1 a z jiného adapteru aby vyhledal skutečnou IP adresu té domény.

Vlastní IP adresa je taky řešení, ale vyjde to tak na 1200 kč ročně, tak chci zkusit nejdřív rozchodit tohle. Pokud tedy existuje nějaký způsob jak přiřadit každému adatéru jiný hosts soubor, jde to?
Davex
Profil
Podle čeho jsi poznal, že to blokuje zrovna CloudFlare?
tttt
Profil *
Serg:
Jiné DNS pro jiné síťové adaptéry podle mě nejde, v době, kdy se rozhoduje o síťovém adaptéru, už se pracuje s přeloženou IP adresou. Ale podle mě to k tomu nepotřebuješ, ve vlastním skriptu můžeš dát natvrdo IP pro config.riotgames.com.

Poskytuje tvůj IPS IPv6? Nemáš VPS, která by mohla sloužit jako proxy?
Serg
Profil *
Davex:
Ve wiresharku jsem kouknul kam se klient připojuje, bylo to konkrétně na: clientconfig.rpg.riotgames.com
Po zadání té adresy na mě vyskočila klasická blokovací stránka od Cloudflare a catpcha. Navíc když používali ještě reCatpchu tak nebyl problém s klienty her, začalo to až v pátek kdy přešli na hCatpchu.

tttt:
Jelikož přeložené IP adresy nevedou přímo na riotgames.com servery, ale na cloudflare, tak po zadání samotné IP adresy dostanu hlášku:
Error 1003: Direct IP access not allowed
You've requested an IP address that is part of the Cloudflare network. A valid Host header must be supplied to reach the desired website.

Neumí IPv6 :(
Jako jasný no, když to nejde takle, tak zůstanou už jen možnosti jako vlastní IP adresa, VPN, VPS atd. ale ty všechny jsou placený.
Ok asi to nechám být, a jestli budu někdy bohatý, tak si pořídím vlastní IP nebo VPN, každopádně díky za pomoc :)
tttt
Profil *
Jelikož přeložené IP adresy nevedou přímo na riotgames.com servery, ale na cloudflare, tak po zadání samotné IP adresy dostanu hlášku …
Na lokálním stroji se přeloží DNS na IP adresu a na tu se pak odešlou nějaká data. Pokud zadáš rovnou IP adresu a pošleš ta samá data, je to z pohledu cílové aplikace totožné. Pokud to hlásí chybu, znamená to, že posíláš jiná data. Podle té chybové hlášky chybí Host header, možná bude potřeba ošetřit i SNI.
Keeehi
Profil
Serg:
Všechny VPN jen placené nejsou. Respektive existují poskytovatelé, u kterých můžeš pár serverů využívat zdarma. Jasně, IP adresu máš zase sdílenou s kopou dalších lidí ale třeba zrovna ta nebude na tom nějakém blacklistu co se blokuje.
Serg
Profil *
Jj, vypadá to že se mi podařilo najít nějakou VPN, která se tváří, že je zdarma (což mi příjde divný). Zatím to vypadá, že to funguje a rychlost / ping je v pohodě.
Jinak ten původní pokus vytvořit proxy, tak ten ztroskotal na tom, že se mi nepodařilo sehnat důvěryhodný certifikát, nebo správně nakonfigurovat xampp, nevím.

U ručně vytvořeného certifikátu pro tu doménu psal prohlížeč že mu nevěří, protože je "self-signed" a u demo certifikátu od PostSignum zase, že nezná poskytovatele. I když certifikát DEMO PostSignum Root jsem nainstaloval do PC k důvěryhodným kořenovým certifikátům. Možná tam spíš byl problém v tom, že jsem nevěděl jak v XAMPPu nastavit, aby ho "přibalil" k certifikátu té domény. Jakože u pravých certifikátů, když si je zobrazím, tak jde zobrazi i certifikát CA, která ho poskytla, ale u toho demo certifikátu byl právě jen ten doménový, bez přibaleného certifikátu CA.
A když tomu certifikátu nevěří ani prohlížeč, tak to by vysvětlovalo, proč mu nevěřil ani ten klient.
Keeehi
Profil
Serg:
A když tomu certifikátu nevěří ani prohlížeč, tak to by vysvětlovalo, proč mu nevěřil ani ten klient.
Ne nutně. Software samozřejmě může pro ověření využívat certifikáty nainstalované ve Windows, stejně tak dobře ale může mít svůj vlastní seznam vestavěný sám v sobě. V takovém případě je pak jedno, jak měníš certifikáty ve Windows.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0