fa
Feedback
بات سرعتی!

بات سرعتی!

رفتن به کانال در Telegram

اطلاع‌رسانی سرویس‌های روبات نرم‌افزاری: https://t.me/BotSorati روبات گروه مانیتورینگ: https://t.me/BotSoratiMonitor سرویس‌های روبات سرعتی: https://t.me/BotSoratiBot آیدیم: @NabiKAZ

نمایش بیشتر
1 482
مشترکین
-124 ساعت
اطلاعاتی وجود ندارد7 روز
-1330 روز
آرشیو پست ها
البته اینا همه بیشتر تفریح، کنجکاوی، تحقیق و تمرینه. 😊 شما واسه اوقات فراغت بازی می‌کنید، فوتبال می‌بینید یا میرید سینما؛ اینم سینمای منه! می‌شینم با این سیستم‌ها و APIها ور میرم، تست می‌کنم، مهندسی معکوس می‌کنم و از حل کردنشون حال می‌کنم. 😊 خودکارسازی و اتوماسیون کردن سیستم‌ها در چهارچوب اخلاق، بهم حس خوبی میده. اون لحظه‌ای که یه فرایند پیچیده رو می‌فهمی و می‌تونی منظم و هوشمند خودکارش کنی واقعاً لذت‌بخشه. 😄 اون لحظه‌ای که یه چیزی بالاخره کار می‌کنه یا یه رفتار سیستم رو می‌فهمی، مغز عملاً دوپامین ترشح می‌کنه؛ همون هورمونِ حس پاداش و لذتِ حل مسئله. 😅 از اون طرف، وقتی داری یه چیز ناشناخته رو تست می‌کنی یا نمی‌دونی نتیجه چی میشه، یه ذره آدرنالین هم قاطیش میشه و هیجانش بیشتر می‌کنه. 😃 بعد کم‌کم وارد یه حالت Flow میشی؛ یعنی انقدر ذهنت درگیر چالش میشه که زمان یادت میره و فقط داری از خودِ فرایند لذت می‌بری. 😍 (حالا شما برید مواد بزنید!😂) برای همین شاید از بیرون عجیب به نظر بیاد، ولی برای من بیشتر شبیه سرگرمی ذهنیه تا هر چیز دیگه. هدف خاصی هم پشتش نیست و من اصلاً حتی با روبات خودرویی ثبت‌نام نکردم؛ بیشتر خودِ یادگیری و درگیر شدن با چالش فنی جذابه. 🙂 و نکته مهم اینکه هیچوقت هدفم آسیب زدن یا سوءاستفاده نیست و رعایت انصاف، عدالت و اخلاق در سیستم‌ها همیشه اولویت منه. 😉 #ایران_خودرو #درد_دل 🤖 @BotSorati

صفر تا صد سایت #ایران_خودرو یعنی چلنج آنتی‌بات آروان + ARCaptcha + کپچای محاسباتی خود سایت + SMS، الان دیگه همه چیز خودکار و حتی بدون استفاده از مرورگر! سمت کلاینت کامل مهندسی معکوس شده، گرفتن درگاه و همه چیز در خط فرمان در چند ثانیه. حالا من که میدونم طرح جدید بیاد اینا باز سایتو تغییر میدن همه کدا میره هوا!😅 اما واقعاً برام مهم نیست چون اینا برای من یه تفریح لذت بخشه! 😉 🤖 @BotSorati

و بعد همه اینها، نتیجه این شد که کل فرایند با یک کلیک در چند ثانیه:👇

به این کدها توی سایت #ایران_خودرو نگاه کنید (دو عکس اول)، به نظر چیزی شبیه یک سایت ویروسین؟! 🧐 حالا اینو داشته باشید کنار تا یه چیز دیگه بگم. 👀 یکی از درخواست‌های کلیدی سایت در فرایند ثبت‌نام خودرو، API به اسم GetOrderWizard هست. وقتی پی‌لود اون رو برای شبیه‌سازی درخواست بررسی میکنید، کنار بقیه پارامترها یه fp میبینید. 🔍 اما وقتی میرید سراغ توابع جاوااسکریپت سایت تا الگوریتم ساختش رو پیدا کنید، دقیقاً همون‌جایی که این API کال شده میبینید همه پارامترها داخل body ست شدن بجز همین fp! 😳 یعنی ساده بگم، سایت یه XMLHttpRequest میزنه که توی کدش اصلاً پارامتری به اسم fp وجود نداره ولی توی کنسول مرورگر میبینید که هست! کمی عجیبه! 🤨 با کمی کنکاش متوجه میشیم همون کد اولی که گفتم درهم‌ریخته و شبیه ویروسه داره یه کار زیرکانه میکنه! 🧠 که البته بعد از مهندسی معکوس و deobfuscate شدن که این رو مدیون هوش مصنوعی Claude Opus 4.7 هستم (به عکس سوم نگاه کنید هم نظر هوش مصنوعی هست و هم کد باز و مهندسی معکوش شده‌ی این قطعه از سناریو)🫠 کاری که میکنه اینه که روی تمام درخواست‌های AJAX سایت Hook ست میکنه؛ چیزی شبیه پروکسی. یعنی همه درخواست‌ها از یه دروازه عبور میکنن و اگر درخواست مربوط به GetOrderWizard باشه، اون fp لحظه آخر به payload تزریق میشه! 😉🔥 یعنی کاری که خیلی راحت میتونست مستقیم داخل js همون API بنویسه رو برده یه جای جدا که کمتر کسی متوجه ارتباطش بشه. حتی خود من هم بار اول فکر نمیکردم این کد ربطی به fp داشته باشه؛ فقط چون بیش از حد obfuscate و عجیب بود کنجکاوم کرد ببینم داخلش چه خبره! 🕵️ حالا خود این fp که از اسمش پیداست fingerprint یا اثر انگشت هست، چطور ساخته میشه؟ 👣 توی مرحله آخر لاگین یعنی VerifyLogin، اگر ورود موفق باشه یه مقدار به اسم footprint از سمت سرور برمیگرده. این مقدار با الگوریتم AES-CBC و یه کلید ثابت رمزنگاری شده؛ کلیدی که داخل همون کدهای obfuscate پنهان شده بود. 🔐 بعد داخل کلاینت decrypt میشه، خروجی decrypt هم خودش یه رشته base64 هست که بعد از decode شدن عملاً تبدیل به یه تکه کد جاوااسکریپت میشه! همون کد با eval اجرا میشه و خروجیش در نهایت MD5 و Base64 میشه تا fp نهایی ساخته بشه. 😅 ⚙️ یعنی سرور عملاً یه تکه کد رمزنگاری‌شده برای مرورگر میفرسته تا اجراش کنه و خروجیش بشه fingerprint نشست کاربر. جالب و خلاقانه‌ست! 😉 🎭 حالا اون کلید (رمز) ثابتی که گفتم چی بود؟ 🗝 همون مقداری که توی پست قبلی به عنوان معما گذاشته بودم و در کدهای کلاینت پنهان شده: 125fgRT951AWEd4f 😄🔑 این فقط گوشه‌ای از رمز و رازهای سایت #ایران_خودرو بود که فکر کردم تعریفش هم جالب باشه، هم دید خوبی از روند مهندسی معکوس و دنبال کردن سرنخ‌ها بده. 🚀 🤖 @BotSorati

photo content
+2

125fgRT951AWEd4f معما رو حل کنید!😅😜 🤖 @BotSorati

125fgRT951AWEd4f #ایران_خودرو😜 🤖 @BotSorati

من لاگین شدم همین سری اولش ساعت ۹ من خوب شدم یا سایت خلوت بوده؟!😉
Anonymous voting

#ایران_خودرو کسی خواست براش میزنم رایگان و بدون کارمزد. میخوام روبات تست بشه.

#ایران_خودرو / شاید باورتون نشه ولی ۴ بار پرداخت موفق داشتم که پول از حساب کم شد ولی خرید تائید نشد و هر بار پولو برگشت داد.
#ایران_خودرو / شاید باورتون نشه ولی ۴ بار پرداخت موفق داشتم که پول از حساب کم شد ولی خرید تائید نشد و هر بار پولو برگشت داد. مرورگر رو عوض کردم و خب با اولین تلاش خرید موفق انجام شد. حالا دیگه نمیدونم چقدر ربط داشته.😊 ۱۴۰۵/۰۲/۲۸ 🤖 @BotSorati

خب این هم بایپس #کپچای ARCaptcha که توی صفحه چلنج #آروان برای آنتی‌بات سایت #ایران_خودرو و بعضی سایت‌های دیگه نمایش داده میشه
+2
خب این هم بایپس #کپچای ARCaptcha که توی صفحه چلنج #آروان برای آنتی‌بات سایت #ایران_خودرو و بعضی سایت‌های دیگه نمایش داده میشه. همون‌طور که توی عکس می‌بینید، پی‌لود و ریسپانس‌ها همگی رمزنگاری شدن، ولی کل منطق سمت کلاینت مهندسی معکوس شده. نکته مهم و ویژه اینجاست که هیچ وابستگی‌ای به مرورگر وجود نداره و کل فرآیند مستقیماً داخل کد و خط فرمان انجام میشه که سرعت کار رو بسیار بالاتر میبره؛ چون توابع جاوااسکریپت، حتی بخش‌های obfuscate شده و الگوریتم‌های رمزنگاری، deobfuscate و بازسازی شدن. این توی عکس دوم مشخصه، فیلم که مرورگر باز میکنم چون عملکردش به شکل افزونه میخوام ببینید وگرنه تو همون خط فرمان هم به HTML سایت مقصد میرسیم. همچنین اگر فنی و علاقه مند هستید میتونم بگم که به‌جای پردازش تصویر که معمولاً نرخ خطای بالایی داره از بخش صوتی کپچا استفاده شده. فایل صوتی فارسی با استفاده از لایبرری Whisper که دقت بالایی هم برای فارسی داره، ظرف یکی‌دو ثانیه به متن تبدیل میشه و بعد از رمزگذاری مجدد، برای سرور ارسال میشه. فعلاً تصمیمی برای انتشار سورس ندارم، ولی کسی نیاز داشت شاید بتونم API بهش بدم.😉 🤖 @BotSorati

خب این هم بایپس #کپچای ARCaptcha که توی صفحه چلنج #آروان برای آنتی‌بات سایت #ایران_خودرو و بعضی سایت‌های دیگه نمایش داده میشه
+1
خب این هم بایپس #کپچای ARCaptcha که توی صفحه چلنج #آروان برای آنتی‌بات سایت #ایران_خودرو و بعضی سایت‌های دیگه نمایش داده میشه. همون‌طور که توی عکس می‌بینید، پی‌لود و ریسپانس‌ها همگی رمزنگاری شدن، ولی کل منطق سمت کلاینت مهندسی معکوس شده. نکته مهم و ویژه اینجاست که هیچ وابستگی‌ای به مرورگر وجود نداره و کل فرآیند مستقیماً داخل کد و خط فرمان انجام میشه که سرعت کار رو بسیار بالاتر میبره؛ چون توابع جاوااسکریپت، حتی بخش‌های obfuscate شده و الگوریتم‌های رمزنگاری، deobfuscate و بازسازی شدن. همچنین اگر فنی و علاقه مند هستید میتونم بگم که به‌جای پردازش تصویر که معمولاً نرخ خطای بالایی داره از بخش صوتی کپچا استفاده شده. فایل صوتی فارسی با استفاده از لایبرری Whisper که دقت بالایی هم برای فارسی داره، ظرف یکی‌دو ثانیه به متن تبدیل میشه و بعد از رمزگذاری مجدد، برای سرور ارسال میشه. فعلاً تصمیمی برای انتشار سورس ندارم، ولی کسی نیاز داشت شاید بتونم API بهش بدم.😉 🤖 @BotSorati

هه! اینم از آروان!😏 چلنج #آروان به راحتی به چخ رفت!😁 با این لایبری که نوشتم به راحتی و بدون بروزر و در یک ثانیه میتونید چلنج آروان رو (همون که مینویسه «در ﺣﺎل اﻧﺘﻘﺎل ﺑﻪ ﺳﺎﯾﺖ ﻣﻮرد ﻧﻈﺮ ﻫﺴﺘﯿﺪ...») که مثلاً برای جلوگیری از کراولر و روبات‌هاست رو دور بزنید. البته تو سطح سختگیرانش کپچا هم شاید ظاهر بشه که اونم تو مرحله بعد اضافه میکنم. سورس رو رایگان تحت مجوز MIT اینجا گذاشتم: https://github.com/NabiKAZ/arvancloud-bypass اگر براتون مفید بود استار توی گیت‌هاب فراموش نشه. 🤖 @BotSorati

تست سرعت افزونه حل #کپچای #ایران_خودرو نسخه لوکال 🤖 @BotSorati

تست سرعت افزونه حل #کپچای #ایران_خودرو نسخه سرور 🤖 @BotSorati

این همون مدلسازی و ترین #هوش_مصنوعی #کپچای #ایران_خودرو هست که قبلاً انجامش داده بودم. یکم جمع و جورش کردم و بردمش روی سرور.
این همون مدلسازی و ترین #هوش_مصنوعی #کپچای #ایران_خودرو هست که قبلاً انجامش داده بودم. یکم جمع و جورش کردم و بردمش روی سرور. به شکل اسکریپت اینجا کار میکنه و دارم تبدیلش میکنم به یه افزونه توی بروزر. 🤖 @BotSorati

مدل‌سازی هوش مصنوعی #کپچای #ایران_خودرو دقت 99.5% سرعت 35ms 😉 🤖 @BotSorati
مدل‌سازی هوش مصنوعی #کپچای #ایران_خودرو دقت 99.5% سرعت 35ms 😉 🤖 @BotSorati

#ایران_خودرو دستا بالا!

خداوندا چقدر نحصه این بازی! دو بار چالش گذاشت درست هر دو بار...!!!😒

آواتار اولترا ۱۲ آواموتور یه ساعت دیگس! اگر کسی خواست بده بزنیم! #خودرو