Congstar einloggen

Für Firefox gabs mal das Addon "Live HTTP Headers". Damit kann man sich die Serveranfragen und Antworten im Detail ansehen, also auch die Feld-/Parameternamen, welche bei einem GET/POST versendet werden.

Da Firefox das Addonsystem vor einiger Zeit verändert hat gibt es dieses Addon glaube ich nicht mehr, scheinbar gibt es aber mittlerweile eine ähnlich benannte Alternative.

https://addons.mozilla.org/de/firefox/addon/http-header-live/

Ob das Addon das selbe leistet kann ich aber nicht sagen. Schaut jedenfalls grundsätzlich nach dem richtigen Analysetool aus. Alternativ gibt es sicher auch für Chrome ein vergleichbares Addon.

um den Traffic mitzulesen und zu analysieren kann ichFiddler empfehlen.

https://www.telerik.com/fiddler

Formfill ist da glaub ich eher ungeeignet, da das Formular nicht wirklich Standard zu sein scheint. Deinem Mitschnitt zu Folge erwartet der Webserver einen JSON formatierten String:

 {"username":"xxx","password":"xxx","defaultRedirectUrl":"/meincongstar","targetPageUrlOrId":"225424"}

Dabei muss man evtl. noch vorsichtig sein wenn es zu Syntax Kollisionen mit Sonderzeichen im Passwort / Username kommt. Könnte sein dass normalerweise das JS auf der Seite entsprechendes Escaping oder Codieren leistet, damit dies nicht zu Fehlern führt. Sollte dem so sein musst du das natürlich entsprechend nachbauen. Da du dein Passwort zensiert hast kannst du das aber nur selbst beurteilen. Bedenke halt, dass spätere Passwortanpassungen ggf. dann doch noch entsprechendes Codieren erfordern könnten, auch wenn es jetzt grad mangels problematischer Sonderzeichen nicht danach ausschaut.

Ja Zeile 9 sagt dir was dein Browser da verschickt hat und in Zeile 13 sieht man auf den ersten Blick, dass es sich um JSON formatierten Text handelt, zumindestens wenn man schonmal JSON gesehen hat.

Normalerweise ist der serverseitige parser auch gescheit genug um selbst zu erkennen was man ihm da schickt oder er geht einfach davon aus, dass er das richtige bekommt. D. h. du musst normalerweise winhttp nichtmal sagen was er als verwendetes Format (Content-Type) im Header angeben soll. Kann man aber natürlich trotzdem machen, siehe Doku der winhttp Funktionen.

JSON Funktionen brauchst du garnicht. Die braucht man bestenfalls wenn man vom Server JSON zurückbekommt und sich keinen eigenen String Parser basteln will um an den relevanten Inhalt zu kommen. Ein einfaches stringbetween oder eben regexp langt dafür normalerweise aber völlig. Für dich irrelevant, da du keine API ansprichst und sowieso ne html seite zurückbekommst die du dann irgendwie mit den Stringfunktionen auswerten musst.

Hier mal konkret wie dein POST ausschauen sollte:

#Region ;************ Includes ************
#include <WinHttp.au3>
#EndRegion ;************ Includes ************

;~ ShellExecute("https://www.congstar.de/login") ;Einloggseite

Global $hOpen = _WinHttpOpen()
Global $hConnect = _WinHttpConnect($hOpen, "https://www.congstar.de")

Global $sUser = "TestUser"
Global $sPW = "TestPW"


Global $sReturned = _WinHttpSimpleSSLRequest($hConnect, "POST", "/login", Default, '{"username":"' & $sUser & '","password":"' & $sPW & '","defaultRedirectUrl":"/meincongstar","targetPageUrlOrId":"225424"}')

ConsoleWrite($sReturned & @CRLF)
_WinHttpCloseHandle($hConnect)
_WinHttpCloseHandle($hOpen)

Ungetestet. Und es könnte sein, dass du nach dem erfolgreichen Login noch ein GET für die gewünschte Seite hinterherschicken musst. Keine Ahnung ob dich der Login selbst schon zur Hauptseite weiterleitet und dir die gewünschte HTML Seite zurückgibt. Normalerweise bekommst du bei erfolgreichem Login jedenfalls die Aufforderung "Set-Cookie" vom Server wie oben im Mitschnitt zu sehen.

Und wie gesagt... es wäre möglich dass Username und Passwort codiert werden müssen um Syntaxproblemen vorzubeugen. Eine geschweifte Klammer und Anführungszeichen reichen schon um die JSON Formatierung zu zerstören.

Ahja ich würd oben im Mitschnitt den "Set-Cookie" Teil grundsätzlich ebenfalls zensieren... jenachdem wie lange die Login / cookie session bei congstar hält und ob diese an deine IP gebunden ist kann man damit evtl. auf deinen Account zugreifen. Mittlerweile ist die Session aber vermutlich eh abgelaufen. Im Zweifel ändere dein Passwort und melde dich ab / an.

Hab mal selber ein wenig gespielt. Zwar nicht erfolgreich, aber immerhin bekomm ich eine Antwort vom Server. Ein Fehler bei dir ist, dass du beim connect das Protokoll mit angibst. Hier wird nur der Servername erwartet, also lass das "https://" weg. Außerdem sollte der Request und dein Konsolenoutput etwas angepasst werden damit du mehr Infos erhältst und besser debuggen kannst.

Hier mal eine angepasste Fassung:

#Region ;************ Includes ************
#include <WinHttp.au3>
#EndRegion ;************ Includes ************

Global $hOpen = _WinHttpOpen('Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0')
Global $hConnect = _WinHttpConnect($hOpen, "www.congstar.de")
Global $sUser = "xxx"
Global $sPW = "xxxx"

Global $aReturned = _WinHttpSimpleSSLRequest($hConnect, "POST", "/login", Default, '{"username":"' & $sUser & '","password":"' & $sPW & '","defaultRedirectUrl":"/meincongstar","targetPageUrlOrId":"225424"}','Content-Type: application/json; charset=utf-8',True,1)
$err = @error
Global $aReturned2 = _WinHttpSimpleSSLRequest($hConnect, "GET", "/meincongstar", Default, Default,Default,True,1)
$err2 = @error

ConsoleWrite($err & @CRLF & "---------" & @CRLF & $aReturned[0] & "---------" & @CRLF & $aReturned[1] & @CRLF & "--------" & @CRLF)
ConsoleWrite($err2 & @CRLF & "---------" & @CRLF & $aReturned2[0] & "---------" & @CRLF & $aReturned2[1] & @CRLF & "--------" & @CRLF)

_WinHttpCloseHandle($hConnect)
_WinHttpCloseHandle($hOpen)

Warum im Response Array Feld weder beim einen noch beim anderen Request etwas zu sehen ist ist mir nicht ganz klar...

Eventuell mal mit dem Api-Pfad versuchen?

Global $sReturned = _WinHttpSimpleSSLRequest($hConnect, "POST", "/api/auth/login", Default, '{"username":"' & $sUser & '","password":"' & $sPW & '","defaultRedirectUrl":"/meincongstar","targetPageUrlOrId":"225424"}')

POST https://www.congstar.de/api/auth/login HTTP/1.1
Host: www.congstar.de
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0
Accept: application/json, text/plain, */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate, br
Referer: https://www.congstar.de/login/?r=225424
X-Requested-With: XMLHttpRequest
Content-Type: application/json;charset=utf-8
Content-Length: 107
DNT: 1
Connection: keep-alive
Cookie: BIGipServer~congo-ldmz~congo-live-typo3_3tier=rd1o00000000000000000000ffffc0a8f4d8o80; BIGipServer~congo-ldmz~congo-live-proxy_3tier=rd1o00000000000000000000ffffc0a8f12ao80

{"username":"678678","password":"678678","defaultRedirectUrl":"/meincongstar","targetPageUrlOrId":"225424"}

Das schaut jedenfalls besser aus, dann bekommt man auch einen oauth token im header zurück, so wie oben in seinem Mitschnitt.

Über die API URLs lassen sich vermutlich dann auch alle anderen Infos auslesen, die in der Webansicht so geladen werden.

Ein Blick in den Seitenquellcode verrät vermutlich welche API Aufrufe durchgeführt werden um die Daten dynamisch nachzuladen.

Zitat von Tweaky

Wie erkenne ich "API URLs"?

Gar nicht... denn die sind ja nicht genormt... aber in den meisten Fällen enthält die ULR dann eben ein \API\.

Du bekommst Seitenquelltext zurück? Ich bekomme bei meinem Script nur den Header (bei der API URL mit oAuth Token, bei der normalen URL ohne) und leeren Inhalt für $aReturned[1] zurück, trotz gültiger Zugangsdaten (bin auch bei Congstar).

Auf manchen Webseiten sieht man im Quelltext wie der HTML Quellcode dynamisch aus JS Aufrufen bestimmter API Seiten generiert wird. Seh ich hier auf Anhieb aber leider auch nichts von.

Was ist eigentlich das Ziel wenn man mal fragen darf? Nur den aktuellen Guthabenstand auslesen oder hast du mehr im Sinn? Mich nervt, dass man als Prepaid Kunde keine übersichtliche monatliche Abrechnung bekommt und die Detaildaten wo man sich das dann selber nachrechnen könnte nach 90 Tagen gelöscht werden. Letztlich kann man nur blind drauf vertrauen dass da alles korrekt abgerechnet wird oder darf das ständig manuell kontrollieren.

Mir fehlt da einfach der Überblick was mich der Spaß neben dem Grundpreis so im Monat kostet...

Congstar... dazu fällt mir nur eines ein... in deren AGBs steht, dass, wenn diverse Dienste momentan nicht verfügbar sind, diese für diesen Zeitraum von einem der Partner-Unternehmen zur Verfügung gestellt werden. Eines der Partner-Unternehmen gehört der Frau des Betreibers von Congstar... und in dem Fall, wenn du ihre Dienste nutzen MUSST, kostet es dich dann deutlich mehr, was aber natürlich an keiner Stelle erwähnt wird!

Deshalb: Congstar = BaFuiIgit!