URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5479
[ Назад ]

Исходное сообщение
"Приложение ali"
Отправлено OldMonster , 08-Янв-19 02:01

ДВС.
Есть планшет, хожу с него али. Только через wifi - т.е. канал в мир контролируется мною.
Захотелось свой мониторинг цен на нужные мне продукты.
В тырнетах нашёл как и откуда брать данные: curl 'https://m.ru.aliexpress.com/ajaxapi/product/ajaxDetail.do?pr...' -H 'referer: https://m.ru.aliexpress.com/'
Судя по этому - протокол обычный https.
Хочется расковырять механизм - где там по каким путям что лежит, но.. https. Прокси в приложении не настраивается (или не нашёл).
Не подскажите, как бы подсмотреть, по каким ссылкам гуляет приложение?

Содержание

Приложение ali,ыы, 11:13 , 08-Янв-19
- Приложение ali,OldMonster, 14:07 , 08-Янв-19
  - Приложение ali,ыы, 15:59 , 08-Янв-19
    - Приложение ali,OldMonster, 20:00 , 08-Янв-19
Приложение ali,михалыч, 16:11 , 08-Янв-19
- Приложение ali,ыы, 17:54 , 08-Янв-19
  - Приложение ali,михалыч, 18:23 , 08-Янв-19
    - Приложение ali,OldMonster, 20:10 , 08-Янв-19

Сообщения в этом обсуждении

"Приложение ali"
Отправлено ыы , 08-Янв-19 11:13

> ДВС.
> Есть планшет, хожу с него али. Только через wifi - т.е. канал
> в мир контролируется мною.
> Захотелось свой мониторинг цен на нужные мне продукты.
> В тырнетах нашёл как и откуда брать данные: curl 'https://m.ru.aliexpress.com/ajaxapi/product/ajaxDetail.do?pr...'
> -H 'referer: https://m.ru.aliexpress.com/'
> Судя по этому - протокол обычный https.
> Хочется расковырять механизм - где там по каким путям что лежит, но..
> https. Прокси в приложении не настраивается (или не нашёл).
> Не подскажите, как бы подсмотреть, по каким ссылкам гуляет приложение?
curl никакого отношения к аллиексперс не имеет. единственная ссылка по которой он гуляет - та которую ты ему указал.
тот тред на котором ты нашел эту ссылку в тырнете рассчитан на людей понимающих основы технологии.
в треде они обсуждали два варианта получения ответа от аллиекспесс - путем модификации запроса в браузере, и путем прямого запроса через курл. запрос при этом один и тот же. что он возвращает? ну, возможно json.
кстати этот запрос просто так не работает. надо вероятно сперва зайти на реферер, получить куки, потом отдать куки вместе с запросом.
ps/ и да, курл поддерживает прокси. плохо искал наверное :)
ps2/ jncencndbt ,fpjds[ ghtlcnfdktybq j nt[yjkjubb ktxbncz xntybtv kbnthfnehs

"Приложение ali"
Отправлено OldMonster , 08-Янв-19 14:07

> curl никакого отношения к аллиексперс не имеет.
я в курсе
> тот тред на котором ты нашел эту ссылку в тырнете рассчитан на
> людей понимающих основы технологии.
?
>...
> при этом один и тот же. что он возвращает? ну, возможно
> json.
да, возвращается структура типа xml. вполне себе парсится.
> кстати этот запрос просто так не работает. надо вероятно сперва зайти на
> реферер, получить куки, потом отдать куки вместе с запросом.
кстати, реферер прописан в запросе уже, работает и возвращает, и даже без куков.
> ps/ и да, курл поддерживает прокси. плохо искал наверное :)
в курсе. Я имел в виду приложение - написано же.
> ps2/ jncencndbt ,fpjds[ ghtlcnfdktybq j nt[yjkjubb ktxbncz xntybtv kbnthfnehs
,fpjdst nt[yjkjubb gjybvf./ Ds ytdybvfntkmyj ghjxkb vjq gjcn/
Меня интересует - как перехватить запросы приложения (на андроиде). по дороге в инет - пара моих машин.
tcpdump не играет, т.к. ssl.

"Приложение ali"
Отправлено ыы , 08-Янв-19 15:59

>[оверквотинг удален]
>> реферер, получить куки, потом отдать куки вместе с запросом.
> кстати, реферер прописан в запросе уже, работает и возвращает, и даже без
> куков.
>> ps/ и да, курл поддерживает прокси. плохо искал наверное :)
> в курсе. Я имел в виду приложение - написано же.
>> ps2/ jncencndbt ,fpjds[ ghtlcnfdktybq j nt[yjkjubb ktxbncz xntybtv kbnthfnehs
> ,fpjdst nt[yjkjubb gjybvf./ Ds ytdybvfntkmyj ghjxkb vjq gjcn/
> Меня интересует - как перехватить запросы приложения (на андроиде). по дороге в
> инет - пара моих машин.
> tcpdump не играет, т.к. ssl.
https://habr.com/post/303736/
https://toster.ru/q/560195

"Приложение ali"
Отправлено OldMonster , 08-Янв-19 20:00

Спасибо, но это несколько не то.
По сути, мне нет необходимости весь контент смотреть.
Мне надо только ссылки, по которым оффприложение ходит.
но, похоже, даже для этого надо строить полноценный MitM.. а я его не умею от слова совсем. Если в курсе - скиньте ссылки на ховто или хотя бы какой софт для этого подойдёт.
спасибо.

"Приложение ali"
Отправлено михалыч , 08-Янв-19 16:11

> ДВС.
> Есть планшет, хожу с него али. Только через wifi - т.е. канал
> в мир контролируется мною.
> Захотелось свой мониторинг цен на нужные мне продукты.
> В тырнетах нашёл как и откуда брать данные: curl 'https://m.ru.aliexpress.com/ajaxapi/product/ajaxDetail.do?pr...'
> -H 'referer: https://m.ru.aliexpress.com/'
> Судя по этому - протокол обычный https.
> Хочется расковырять механизм - где там по каким путям что лежит, но..
> https. Прокси в приложении не настраивается (или не нашёл).
> Не подскажите, как бы подсмотреть, по каким ссылкам гуляет приложение?
можно попробовать подсмотреть (поковырять, потыкать палочкой)
например так:
используем ПК, браузер Firefox
логинимся на ali, включаем "Разработка" (ну там иконка ещё такая, как гаечный ключ)),
далее, врубаем "Инструменты разработки" (Ctrl+Shift+I),
нас интересует "Сеть" (поэтому, можно сразу нажать заветные три Ctrl+Shift+Q),
ходим по своим необходимым нам линкам, подставляем (меняем) если нужно referer,
наблюдаем много интересного, думаем, делаем выводы и действуем

P.S. Забыл добавить, крайне желательно использовать Microsoft Windows 10,
большому брату (Билу Гейтсу?, дяди Сэму?) также будет любопытно, не обламывайте их ))

"Приложение ali"
Отправлено ыы , 08-Янв-19 17:54

>[оверквотинг удален]
> используем ПК, браузер Firefox
> логинимся на ali, включаем "Разработка" (ну там иконка ещё такая, как гаечный
> ключ)),
> далее, врубаем "Инструменты разработки" (Ctrl+Shift+I),
> нас интересует "Сеть" (поэтому, можно сразу нажать заветные три Ctrl+Shift+Q),
> ходим по своим необходимым нам линкам, подставляем (меняем) если нужно referer,
> наблюдаем много интересного, думаем, делаем выводы и действуем
> P.S. Забыл добавить, крайне желательно использовать Microsoft Windows 10,
> большому брату (Билу Гейтсу?, дяди Сэму?) также будет любопытно, не обламывайте их
> ))
он не использует браузер для походов на аллиекспресс.. :) он чтобы ходить по аллиексперсс использует какое-то ПРИЛОЖЕНИЕ.. хз зачем... и не хочет смотреть запросы в отладчике браузера, а хочет реверсинжинерить протокол этого походу приложения(??) с аллиекспресс... возможно даже в гамаке...

"Приложение ali"
Отправлено михалыч , 08-Янв-19 18:23

> он ... хочет ... возможно даже в гамаке...
О, как!
Вот это поворот!!
Так ведь это ж не удобно!!!

"Приложение ali"
Отправлено OldMonster , 08-Янв-19 20:10

Остряк! :)
У браузерного али чуть другой функционал.
Там, судя по моим опытам, цены вытягиваются с непременным участием куков и через джаву.
Curl-ом цен не вытащить.
Я ответил уже выше, что, похоже, надо строить MITM.
Но статей на эту тему не попадалось.
Так-то, если приложение на планшете берёт сертификаты из системы - то планшет рутован, наверное, можно свой сертификат подсунуть. Проблемка - я в андроиде не аллё от слова совсем. Только фрю в некоторой степени знаю.
Но, как я уже писал - построение системы перехвата для меня совершенно новая и непонятная задача, с какой стороны начинать - не знаю.
несколько не "хацкер" я.