背景
今天有客户询盘,问SyncMein扩展能否同步 fastmoss 的登录态,试了一下确实不行。
表现为:本地同浏览器跨profile(个人资料)ok,本地换浏览器偶尔不行,异地基本完全登不上。看来是结合了ck+浏览器指纹+IP校验登录态。
刚开始觉得不就是个查询 tiktok 数据的网站,至于这么严格么?直到看到官网定价…
某宝上也有拆分来卖的,一天高达39元,销量还不错。天啦噜,跨境人的需求真的看不懂~
原理
一般的网站登录态保存在cookie中,那么只要将ck从一台电脑导出,在另外一台电脑导入。后者就能免密登上这个账号,这也是包括SyncMein在内的一般上号器工作原理。
那么设备指纹是什么呢?这是AI给的答案,好处是好理解。
浏览器指纹,也称为设备指纹或浏览器指纹,是一种通过收集用户浏览器和设备配置信息来识别和追踪用户在线活动的技术。这种技术利用浏览器和操作系统等独特配置来创建独特的“指纹”,类似于现实生活中的指纹,用于区分和追踪用户,即使他们清除cookies或使用隐私模式
所以对于fastmoss和Gmail这些同时校验ck和设备指纹的网站,相当于必须有两把匹配的钥匙,才能解开的锁。
经过两天尝试,写了一个demo浏览器扩展,来实现设备指纹的同步。
从设备指纹的产生过程,可以得知,要在不同设备复刻同一个指纹,除非魔改编译浏览器。几乎没有其他可能。
于是在想,既然山不过来,那就我自己过去:把需要免密登录的 设备的网络请求,以指令形式发给已登录设备的浏览器,由它转发给服务器,取到数据再返回。不就达到了“借用”指纹的效果?这就是“复制指纹”、“代理指纹”的由来。
具体实现
来看具体操作步骤,首先在宿主机,通过 SyncMein 扩展,鼠标移到需要分享口令的域名左边,点击“分享”按钮。
然后将口令分享给需要共享账号的B,B拿到口令后,安装smi客户端扩展
然后按下图步骤导入口令,首次导入,需要安装证书,用于解密从宿主机代理过来的流量。
按照指引操作即可。
由于工作原理是将被分享者的流量,代理到分享者(宿主机),需要宿主机在线,可以通过口令上的绿点查看宿主机在线情况。
导入口令后,再访问fastmoss,就会发现已经获得了登录态。
下图中,
- 红点1是通过远程连接控制的windows系统,代表共享账号的接收端。
- 红点2是本地Mac系统,已经登录fastmoss,并生成口令,分享登录态,并提供代理服务。
- 红点3是本地浏览器控制台。
可以看到windows系统已经免密登录Mac分享的同一个账号。而它的流量则出现在红点3中,Mac宿主机的网络面板。
这样一来,被分享端端windows访问 fastmoss 网站的流量,都是通过宿主机的网络出口,不仅借用了宿主机的设备指纹,连IP也是一样的。在 fastmoss 服务器看来,接收到的流量并无区别,就相当于还是在宿主机Mac上操作。
我们给红点3的控制面板来个特写,可以看到请求头信息都是是宿主机(Mac系统)的,最明显是红框中的UserAgent。因为流量不是普通的代理转发,而是宿主机接收到指令后,发送请求,并将结果返回,相当于MITM。这就是为什么需要安装根证书解密流量的原因。
纯技术分析,无不良引导。使用请遵守相关法律法规和服务提供商的用户协议!
