抓包

ArticleSync - マルチプラットフォーム記事同期プラグイン ArticleSyncは、ユーザーが複数のソーシャルプラットフォームに記事を簡単に同期・公開できるブラウザ拡張機能です。ローカルの下書きから、知乎（Zhihu）やBilibiliなどの主要プラットフォームに記事を公開することをサポートしています。これにより、異なるソーシャルメディアプラットフォーム間で記事を同期する作業が、シンプルかつ効率的になるワンストップソリューションを提供します。 ブラウザ拡張機能の仕組みに基づき、ローカルでログインしているアカウントを自動的に検出し、アカウント情報の漏洩や環境の異常といったリスクを防ぎます。 Chrome Manifest V3ブラウザ拡張機能の標準に基づいて開発されており、カーネルのバージョン要件にご注意ください。 背景 ご存知の通り、私は最近、いくつかのブログプラットフォームと多くのソーシャルサイトを新たに使い始めました。もし、それらすべてで活発に更新を続けたいと思ったらどうすればいいでしょうか。（私がまだ生きていることを証明するために）ついでに、ワンクリックで記事を転載することもできます。 私が最も頻繁に更新するのは自分の小さなサイトですが、他のプラットフォームはたまにしか更新しません。しかし、毎回手動で投稿するのは面倒です。そこで、ローカルでログインしているアカウントを自動検出し、自動で投稿してくれるプラグインが作れないかと考えました。 「自分のことは自分でやる」ということわざの通り、数日間いじくり回して、なんとか使えるものができました。残りの部分は時間があるときに更新します。お金をくれるなら話は別ですが。 このプラグインにはまだ多くの未完成な部分があり、本番環境で複数のプラットフォームでのテストも行っていません。エラーが発生するのはごく普通のことですので、その際はIssueを提出するか、自分で修正してPRを送ってください。てへぺろ〜 話の邪魔にならないように、スクリーンショットは最後に載せておきました。 それと、オープンソースは大変なので、スターを付けてくれると嬉しいです。へへへ〜 本当は、私のコミュニティプラットフォームを自動でフォローするような、個人的な機能を追加しようかとも思いました。 機能と特徴 マルチプラットフォーム対応：知乎（Zhihu）、Bilibiliなどの主要プラットフォームや、自作のオープンソースCMSシステムをサポートしています。 ステータス追跡：プラグインのインターフェースで記事の同期状況を確認できます。 アカウント管理：プラグインに連携されている各プラットフォームのアカウント情報を確認できます。 高い拡張性：開発者はアダプターパターンを通じて、簡単により多くのプラットフォームに拡張できます。 安全性と信頼性：ブラウザ拡張機能の仕組みに基づいているため、アカウントの安全性を確保し、情報漏洩などのリスクを回避します。 Todoリスト [ ] 独立した記事エディタ [ ] 画像のワンクリック同期 [x] MarkdownとHTMLの相互変換 [ ] サードパーティの画像ホスティングサービス [ ] 複数アカウント管理 [ ] マルチOSクライアントバージョン [ ] ワンクリックAI要約 [ ] 動画の同期 [ ] タグ、カテゴリのサポート [ ] より親切なエラーハンドリング [ ] より多くのプラットフォームへの対応 対応プラットフォーム メディア カテゴリ ステータス URL 対応形式 更新日時 Bilibili (哔哩哔哩) 主要セルフメディア 対応済み https://bilibili.com/ HTML 2024/10/13 知乎 (Zhihu) 主要セルフメディア 対応済み https://www.zhihu.com/ HTML 2024/10/13 博客园 (Cnblogs) ブログ 対応済み https://cnblogs.com/ HTML 2024/10/14 新浪头条 (Sina Headline) 主要セルフメディア 対応済み https://weibo.com/ HTML 2024/10/14 Emlog オープンソースCMS 対応済み https://www.emlog.net/ HTML 2024/10/14 WordPress オープンソースCMS 対応済み https://cn.wordpress.org/ HTML,Markdown 2024/10/14 Discuz! オープンソースCMS 対応済み https://www.discuz.vip/ Markdown,Text 2024/10/15 インストール手順 リポジトリをローカルにクローンします： ...

先日、暇だったのでDiscuzフォーラムの脆弱性を探してみたところ、本当に見つかりました。ついでにツールを作成し、勢いでこの記事を書いています。 以下が事の経緯です。 この脆弱性はウェブサイトに大きな危害を与えるものではなく、個人スペースのCSSスタイルをカスタマイズできるだけで、サイトのデータに脅威を与えることはありませんので、ご安心ください。 このツールを使えば、Discuzの個人スペースのCSSスタイルをカスタマイズでき、個人スペースを豊かに美化し、単調さをなくすことができます。 テストしたDiscuzのバージョンはX3.4です。他のバージョンはご自身でテストしてください。 全球主机交流论坛（管理人さん、お許しを）でのみテストしました。同じバージョンのDiscuzであれば理論上は共通で使えるはずです。 個人スペースが開設されていないフォーラムでは使用できません。 カスタムCSSは多すぎないようにし、失敗を避けるために一行に圧縮することをお勧めします。 プロトコルヘッダーは通常、変更する必要はありません。テキストボックスを設置したのは、主に拡張性を考慮したためです。 もしlocフォーラムで操作する場合、デフォルトで阿珏ちゃんをフォローし、友達に追加します。[#手動でニヤリ + 保身のための犬アイコン] 本ソフトウェアはローカルでリクエストを送信するのみで、サーバーにデータをアップロードすることはありません。 ソフトウェアはパック（圧縮・暗号化）されているため、ウイルス対策ソフトが誤検知する可能性がありますが、安心してご使用ください Cookieの取得 ブラウザで開発者ツール（F12）を開き、対象のウェブサイトにアクセスします。ログイン状態であればどのページでも構いません。開発者ツールで「Network」タブに切り替え、ページを更新（F5）します。現在のドメインのリクエストデータを見つけてクリックし、「Headers」タブの「Request Headers」にあるcookieを探します。皆さんが私の言っていることを理解できないだろうと思ったので、特別に図を用意しました。 2つ目の方法はより簡単で迅速ですが、どのcookieが必要か分かっている場合に適しています。下の図のように操作します。 1つ目の方法で使う開発者ツールは、以前のブログ記事でも使用しましたが、cookieの取得方法については説明していませんでした。やはり1つ目の方法をお勧めします。cookieは多くても問題ありませんが、少ないと動作しません。 免責事項 本ソフトウェアは学習と交流のみを目的としています！ 本ソフトウェアの作者は一切の責任を負いません！ 本ソフトウェアを使用した場合、本規約に同意したものとみなします！ ダウンロード 以下のダウンロードスタイルは何年も使っていませんでしたが、今日ついに復活させました。 .down_link{background:url(‘https://www.52ecy.cn/content/uploadfile/201707/md-bg.jpeg') no-repeat 100% 0% #fffdff; border: 1px solid #faf8fb; border-radius: 2px; color: #666; font-size: 14px; margin-bottom: 10px; padding: 5px 20px;}.downbtn{background: none repeat scroll 0 0 #1BA1E2; border: 0 none; border-radius: 2px; color: #FFFFFF; cursor: pointer; font-family: “Open Sans”,“Hiragino Sans GB”,“Microsoft YaHei”,“WenQuanYi Micro Hei”,Arial,Verdana,Tahoma,sans-serif; font-size: 14px; margin: -4px 20px 0 0; padding: 8px 30px;text-transform:none;text-decoration:none;} .downlink a{text-decoration:none;} .downlink a{text-decoration:none;font-size:15px;} .downlink a:link{color: #ffffff;} .downlink a:visited{color: #ffffff;} .downlink a:hover{color: #ffffff;} .downlink a:active{color: #ffffff;} .downbtn{background: none repeat scroll 0 0 #1BA1E2; border: 0 none; border-radius: 2px; color: #FFFFFF !important; cursor: pointer; font-family: “Open Sans”,“Hiragino Sans GB”,“Microsoft YaHei”,“WenQuanYi Micro Hei”,Arial,Verdana,Tahoma,sans-serif; font-size: 14px; margin: -4px 20px 0 0; padding: 8px 30px;} .yanshibtn{background: none repeat scroll 0 0 #d33431; border: 0 none; border-radius: 2px; color: #FFFFFF!important; cursor: pointer; font-family: “Open Sans”,“Hiragino Sans GB”,“Microsoft YaHei”,“WenQuanYi Micro Hei”,Arial,Verdana,Tahoma,sans-serif; font-size: 14px; margin: -4px 20px 0 0; padding: 8px 30px;text-transform:none;text-decoration:none;} .downbtn:hover,.yanshibtn:hover{background: none repeat scroll 0 0 #9B59B6; border: 0 none; border-radius: 2px; color: #FFFFFF!important; cursor: pointer; font-family: “Open Sans”,“Hiragino Sans GB”,“Microsoft YaHei”,“WenQuanYi Micro Hei”,Arial,Verdana,Tahoma,sans-serif; font-size: 14px; margin: -4px 20px 0 0; padding: 8px 30px;} .downbtn a:hover,.yanshibtn a:hover{background: none repeat scroll 0 0 #9B59B6; border: 0 none; border-radius: 2px; color: #FFFFFF; cursor: pointer; font-family: “Open Sans”,“Hiragino Sans GB”,“Microsoft YaHei”,“WenQuanYi Micro Hei”,Arial,Verdana,Tahoma,sans-serif; font-size: 14px; margin: -4px 20px 0 0; padding: 8px 30px;} ...

最近、多くの人のブログでウェブスクレイピング（パケットキャプチャ）のチュートリアルが公開されているのを見かけ、それが私の興(きょう)味(み)（かっこつけ）を刺激し、この記事が生まれました。 ちょうど先日、私のプレイリストがKuGouのAPIとの連携が機能しなくなりました。この機会に修正し、ついでに画像付きのチュートリアルを作成することにしました。というわけで、KuGouを「メスを入れる（分析対象にする）」ことにします。 パケットキャプチャの概念について パケットキャプチャ（packet capture）とは、ネットワークで送受信されるデータパケットを傍受、再送信、編集、保存などの操作を行うことであり、ネットワークセキュリティのチェックにも使われます。また、データの傍受などにも頻繁に利用されます。 ——ゲイ百科より ここで話すのは、ウェブページで送受信されるデータの傍受であり、再送信や編集など、ネットワークセキュリティに影響を与える操作は含みません。 実はパケットキャプチャに関する記事は、2016年にはすでに複数公開していましたが、記事が古くなりメンテナンスされていないため、画像は失われたり、破損したり、順序がめちゃくちゃになっています。 ウェブ開発者、特にバックエンド開発者にとって、パケットキャプチャはあまり馴染みがないかもしれません。しかし、私はデスクトップアプリケーション開発出身なので、使うのはお手の物です。 目的： KuGouの楽曲直リンクの解析 - 私のプレイリストの修正 対象サイト： http://t.kugou.com/1md5hf5t8V2 KuGouの私のプレイリスト共有短縮URL 使用ツール： Google ChromeのF12キー（または Ctrl + Shift + I、または右クリック > 「検証」）開発者ツール （注意：以下のチュートリアルは画像と合わせてご覧ください。見えにくい場合は右クリックで新しいウィンドウで画像を開いてください） ここではモバイル版のページをキャプチャします。なぜならPC版ではプレイリスト全体が直接ソースコードに返されるため、解析が不便だからです。モバイル版ではJSONが返されます。 Preserve Log：ページ遷移後も以前のログを保持する機能 左上隅の携帯電話アイコン：現在のブラウジングインターフェースのUAをモバイルUAに切り替える URLを入力してEnterキーを押しアクセスすると、ウェブページがリダイレクトされます。 ステータスコード302、リダイレクトアドレスを取得（必ず画像を確認してください。テキストの説明は簡略化されています） パケットキャプチャはここまでで終了です。以下、分析を開始します： 確かなのは、KuGouサイトの音楽リンクは決して固定ではないということです。 これまでの経験からすると、これらはすべて疑わしいパラメータです。 パケットキャプチャログを丹念に探すと、プレイリスト全体の取得方法であるlistが見つかりました。そして、楽曲の基本情報も含まれています。 listリンクを分析すると、ここのパラメータは以前のものと非常によく似ていることが明らかです。 次に、各楽曲のリンクを分析します。 楽曲の直リンクの有効期限はだいたい24時間程度で、無効になります。 引き続きパケットキャプチャログを確認します。 楽曲のハッシュ値を含めることで、楽曲の関連情報と直リンクを取得できます（ハッシュ値は前述の楽曲リストですでに返されています）。 まとめ： 短縮URL -> ウェブリンクパラメータ -> プレイリストの取得 -> 楽曲の取得 （段階的に、前のステップで得られたパラメータを使って次のURLにアクセスします） 関連コードは自分で書いてくださいね….-。- このようなチュートリアル性の高い記事を投稿するのは久しぶりです。 最後に一言、Google開発者ツールは本当にめちゃくちゃ便利！ ちょっとした記事を書いて、逃げる〜〜 関連推奨記事 （1）PHPを使ってBingの今日の画像をスクレイピングし、自分のものとして利用する.孟坤ブログ. （2）パケットキャプチャ入門（一） 関連コード （1）KuGouプレイリストの楽曲情報取得インターフェースのソースコード

58都市ログイン（RSAアルゴリズム） この時。もう一つの素晴らしいログインアルゴリズム分析 宛先アドレス: https://passport.58.com/login?（同市内58件） 使用したツール: js デバッグ ツール (私はフォーラムから改造された、比較的インテリジェントな js デバッグ ツールを使用しています) パケットキャプチャツール（今回はキーワード検索を便利にするためにブラウザのF12を直接使用しました） ヒント: この記事は 1 年前に公開され、荒廃してしまったので、画像のコンテンツは失われています。

新浪微博动态 RSA 分析 一、使用到的工具 ie ブラウザ (9 以上) httpwatch (中英どちらでも可) js デバッグツール 対象サイト: http://weibo.com (新浪微博) 二、パケットキャプチャ 前回のパケットキャプチャの流れを踏襲します。良い習慣を身につけましょう。ここでは詳しく説明しません。 三、パケットキャプチャデータの分析 ログイン送信パケットを特定する キーワード検索の柔軟な変更 五、js デバッグ四、キーワードの検索 HttpWatch でキーワードを検索できます。 ie の F12 で引き続き検索することもできます。 pwencode キーワードを検索する ここは前回と異なります。まず呼び出しコードをコピーして簡単な書き換えを行います。 コピーしたコードは function() 関数ではありません。易言語のサブプログラムのようなものです。 (ここでの説明は誤っている可能性があります) 3つのパラメータがあります。p がパスワードであることはわかっています。残りの2つは開発者ツールで確認します。 六、図解による分析 何か間違いがあればご指摘ください。

前置きはさておき！ 一、使用するツール IEブラウザ（バージョン9以上） httpwatch（中国語版・英語版どちらでも可） JSデバッグツール ターゲットサイト：http://xz.189.cn/sso/LoginServlet China Telecom 189 ログイン 二、パケットキャプチャ： パケットキャプチャの前に、サイトのCookieとキャッシュをクリアします ページを開く前にパケットキャプチャツールを起動します（そうしないと、暗号化されたJSをキャプチャできません） どれがログイン送信パケットであるかを判断します 三、キャプチャデータの分析： ここでIEのF12開発者ツールを使用します パスワードのキーワードである「密码」や「passWord」を検索します 暗号化で呼び出される関数 encryptedString を追跡し続けます encryptedString 関数の2つの引数が何であるかを知る必要もあります。引き続きkeyを探します これで暗号化に必要なパラメータが揃いました。次はデバッグです。ここで、「パラメータは2つあるのでは？もう一つのsは？」と疑問に思う方がいるかもしれません。関数から、sがパスワードを暗号化する際のpwdであることがわかります。関数のif文による呼び出しを判断すると、pwdが私たちのパスワードであるpassWordであることがわかります。 次に、関数呼び出しをコピーして、まず開発者ツールでデバッグしてみます。keyとsの2つの引数が必要です。 IEでのデバッグに問題がなければ、次にJSデバッグツールでデバッグしてみます。 3つのRSA暗号化JSファイルとkeyをコピーし、bodyRSA()関数を呼び出します。引数はパスワードです。これがオブジェクトであり、直接呼び出せないことがわかります。呼び出しを続けると、ツールがクラッシュしてしまいます。 ここがRSAの難点です。書き換える必要があり、そうしないと私たちの易言語（E-language）からも呼び出すことができません。 書き換えた関数を先ほどと同様にデバッグツールにコピーし、同じくbodyrsa()関数を呼び出します。 最後に、成功したことが確認できました。 China Telecomの携帯電話番号を持っていないため、Cookieを操作する完全なログイン処理を記述できませんでした。次回にご期待ください！