这是我在别人那里看见的
1:基本的几点
1:http部分
① 优先级,就是先检测1,1没有就检测2,2没有就检测3
一般来说,http XH>H>首头以下简称
https 首头>H>XH
当然我说的只是部分地区
②[M]首头 [U]index什么的 [V]http1.1协议 [H]真实地址
\r回车\n换行\t制表(类似于空格)
\r\n表示结束
③一个模式的基本结构
[M] [H][U] [V]\r\nHost: [H]\r\n 后面还有,无关紧要了
④举个例子,双H
[M] [U] [V]\r\nHost: [H]\r\nHost: wap.10010.com\r\n
注意1 大部分真实在前,否则不能联网
再看下面这个
[M] [U] [V]\r\nHost.: \rwap.10010.com\r\nHost: [H]\wap.10010.com\r\nHost: wap.10010.com\r\n
最前面的H属于干扰,因为这个是检测机制无法识别的
真后面跟伪装,叫做后缀,以前火过一段时间
最后是伪装
干扰不是随便用的,不要干扰和伪装弄混,否则肯定没法进行下去!
⑤例子
[M] [U] [V]\r\nHost: wap.10010.com\r\nX-Online-Host: \nX-Online-Host: [H]\r\nX-Online-Host: wap.10010.com\r\n
这个叫做XH空头,属于干扰
下面例子
[M] [U] [V]\r\nHost: wap.10010.com\r\nX-Online-Host: \rX-Online-Host: host\nX-Online-Host: [H]\r\nX-Online-Host:wap.10010.com\r\n
注意[H]的全称[host]
⑥双首
[M] [U] [V]\r\nHost: [H]\r\nHost: wap.10010.com\r\n[M] [U] [V]\r\nHost: wap.10010.com\r\n
两个首头,属于干扰
干扰因地区而异,在抓包了解一些以后就可以尝试干扰,有时候干扰后一直没网,这就需要自己耐心测试了。
⑦删除
最前面的删除选项,最平常的是删除XH和H
这个需要抓包实践,有些地区只检测XH或者H
所以只要删除伪装一种就好了
有些地区检测多了,就多删除多伪装
2:https部分
大类型(假设首头>H>XH)
①CONNECT [H] [V]\r\nHost: wap.10010.com\r\nX-Online-Host: wap.10010.com\r\n
很常见的一种,大部分模试离都有出现!
②[M] [V]\r\nHost: [H]\r\nX-Online-Host: wap.10010.com\r\n
第一种细分,我见过这几种
①CONNECT [H] [V]\r\nHost: wap.10010.com\r\nX-Online-Host: wap.10010.com\r\n
真实在首头后
②CONNECT \ [V]\r\nHost: [H]\r\nHost: wap.10010.com\r\nX-Online-Host: wap.10010.com\r\n
空头
③CONNECT [H] [V]\r\nCONNECT wap.10010.com,\r\nHost: wap.10010.com\r\nX-Online-Host: wap.10010.com\r\n
双头
然后把模式组合起来,测试是否可用
到了这里就差不多了!自己去试试吧
by凄凉