[个人原创]免流系列教程三

懵懂丶小青年 2016-12-20

展开全文

u=3289441461,1780743174&fm=21&gp=0

免流系列教程三

前面写了两篇，一篇抓包，一篇测试机制那现在最后一篇了，写的是伪装

怎么伪装？这个要我说我也很难详细的回答，因为伪装都是经验和思维，意思是伪装太多了

一般来说伪装有

\r代表回车
\n代表换行
\t代表制表
post 发送请求
[method]代表请求方法GET
[host]代表真实host
[uri]代表/index.html
[version]代表HTTP/1.1
还有一些其他的Connection: Close等太多这里不列举

这样估计有人看不懂我来拿上一个抓包告诉你怎么写伪装

GET /public/xxxxxxxx/xxxxxxxx这里一堆东西 HTTP/1.1
Host: freesyst.mll.migu.cn

如上请求中
[method]代表请求方法GET
[host]代表 freesyst.mll.migu.cn
[uri]代表/index.html
[version]代表HTTP/1.1
\r代表回车
\n代表换行
\t代表制表
https_first语法同上，只是没有[uri],并且[host]包含端口,[host_noport]不含端口

那么这个抓包还原就是

[method] /public/xxxxxxxx/xxxxxxxx这里一堆东西 [version]/r/nHost: freesyst.mll.migu.cn

然而我们写模式一般都直接这样写：

[method] http:// freesyst.mll.migu.cn[uri] [version]\r\nHost: freesyst.mll.migu.cn

或者直接这

[method] [uri] [version]\r\nHost: freesyst.mll.migu.cn

主要是看机制那么上一节我们说了机制要怎么运用这里呢，先举个例子：

如果：xh>h 而不能用首伪（什么是xh 什么是h 什么是首伪，不懂的就翻我前面写的文章不懂就看多几次）

模式就这样写[method] [uri] [version]\r\nHost: freesyst.mll.migu.cn\r\nX-Online-Host: [H]\r\n

对于这样肯定也是不免的，为什么？因为这里直接算是透明模式，刚刚开始这样写是免的现在估计不能免了，所以我们要变形，这里就是灵活的地方，然而我一般会这么写：

[method] [uri] [version]\r\nX-Online-\rHost: freesyst.mll.migu.cn\r\nHost: freesyst.mll.migu.cn\rX-Online-Host: [H]\r\nX-Online-Host: freesyst.mll.migu.cn\r\n

好了我先来解析这里是怎么看，忘了说，\r这伪装在上网系统里面的识别是回车，而计费系统识别的确却是*从而达到了伪装的效果，我上面的伪装怎么伪装的呢首先计费系统检测到是这样的：

get /index.html HTTP/1.1

X-Online- 这里的\r识别成回车所以没事

Host: freesyst.mll.migu.cn

Host: freesyst.mll.migu.cn 这里的\r识别成回车所以没事

X-Online-Host: [H]

X-Online-Host: freesyst.mll.migu.cn

这里还是xh优先所以能上网因为整个模式里面第二个xh在第一个xh真的后面所以这样写能正常上网，达到伪装（免不免不是这节的重点)。

然而计费系统检测到的却是这样的：

get /index.html HTTP/1.1

X-Online-*Host: freesyst.mll.migu.cn

Host: freesyst.mll.migu.cn*X-Online-Host: [H]

X-Online-Host: freesyst.mll.migu.cn

看到猫腻没有\r破坏了完整的X-Online-Host所以系统检测到这里直接跳过了。

再举一个例子：h>h 而不能用首伪（这里的两个h，意思是传说中的双h模式。h>h也就是说当两个h出现的时候上网检测第一个h。什么是h 什么是首伪，不懂的就翻我前面写的文章不懂就看多几次）

这怎么写呢？

[method] [uri] [version]\r\nHost: [H]\r\nHost: freesyst.mll.migu.cn\r\n

怎么加伪装呢？之前一个J\r双h很厉害免了很多地方所以这里这样写

[method] [uri] [version]\r\nJ\rHost: [H]\r\nHost: freesyst.mll.migu.cn\r\n

这里的上网检测是这样的：

get /index.html HTTP/1.1

Host: [H]

Host: freesyst.mll.migu.cn

而收费检测到的是这样：

get /index.html HTTP/1.1

J*Host: [H]

Host: freesyst.mll.migu.cn

类似的还有

[method] [uri] [version]\r\nJ\rHost: [H]\r\n免流模式\r\nHost: freesyst.mll.migu.cn\r\n

[method] [uri] [version]\r\n免流模式\r\rHost: [H]\r\nHost: freesyst.mll.migu.cn\r\n

等等很多

如果这里还看不懂的话就要认真仔细看，你问我怎么伪装

这话真难回答，伪装太多太多了

好了分析下最新的模式给你们看

7月24日的移动模式，来自妖火的

mode=wap;
listen_port=65080;
daemon=on;
worker_proc=0;
user=net_raw;

#HTTP模块（请勿修改任何代码）
http_ip=10.0.0.172;
http_port=80;
http_del=“Host,X-Online-Host“;
http_first=“[method] [uri] HTTP/1.1\r\nX-online-\rHost :[host]\r\nX-online-Host:\rwap.cmvideo.cn\r\n“;

#HTTPS模块
https_connect=on;
https_ip=10.0.0.172;
https_port=80;
https_del=“Host,X-Online-Host“;
https_first=“CONNECT / HTTP/1.1\r\nX-online-\rHost :[host]\r\nX-online-Host: wap.cmvideo.cn\r\n“;

＃Tdns配置
dns_tcp=http;
dns_listen_port=65053;
dns_url=“119.29.29.29“;

这里的模式机制是h>xh 没有首伪

上网检测到的是

get /index.html HTTP/1.1
X-online-
Host :[host]
X-online-Host:
wap.cmvideo.cn

扣费系统检测到的却是

get /index.html HTTP/1.1
X-online-*Host :[host]
X-online-Host:*wap.cmvideo.cn

破坏了第一个xh所以免了

不过这个模式比较特别因为在xh伪上加了\r这样估计只有几个地区能用因为这样的伪装要看机制检测不检测中间伪了，但是因为比较特别所以效果也很强。

好了要是遇到不懂的模式可以回复留言，我看到我会给你分析。

by：空城

（转载请注明来自凌霄阁www.）