unidbg直接调用tiktok so生成签名

已于 2024-08-29 15:51:07 修改
阅读量1.8k 收藏 24
点赞数 35
分类专栏: 移动客户端安全 文章标签: 安全
于 2024-08-29 15:42:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a545958498/article/details/141679909
版权

Tiktok版本: 33.2.5 (24年1月25日)

1、前言

    通过对Tiktok抓包发现TikTok的所有http请求的头部增加了参数签名(x-argus、x-goron、x-khronos、x-ladon):

2、获取关键函数

直接将apk文件用jadx工具反编译,搜索关键字x-argus等,未搜索到任何关键字:

使用frida hook java层 Header对象的构造方法,发现有监控到https请求头设置,但是始终没有发现签名字段

var Header = Java.use("X.2jn");
Header.$init.implementation = function(key, val) {
    console.log(key + " : " + val);
    this.$init(key, val);
}

接着尝试hook interceptor拦截器,打印出请求头部,结果输出的请求头部中还是没有签名字段

    //添加intercept
    var Request = Java.use("X.LGn");
    Request.LIZJ.implementation = function(intercept){
        var newObj = Java.cast(intercept, Java.use("java.lang.Object"));
        //console.log(newObj.getClass());
        var new_cls = newObj.getClass();
        var class_name = new_cls.getName();
 
        if(!mmp[class_name]) {
            mmp[class_name] = 1;
            var hook_class = Java.use(class_name);
            hook_class.intercept.implementation = function(tt){
                var res = this.intercept(tt);
/*              var rq = tt.request();
                console.log(rq.getUrl()); */
 
                var request = getFieldVal(res, "LIZ");
                //console.log(getFieldVal(request, "LIZ"));
                //console.log(getFieldVal(request, "LIZJ"));
                //console.log(getFieldVal(request, "LJI"));
                 
                var headers = getFieldVal(request, "LIZLLL");
                //console.log(headers);
                //console.log("----------------------------------------------------");
                return res;
            }
        }
 
        this.LIZJ(intercept);
    }

Java层找了一遍始终找不到签名关键字符串,那很大可能是在native层设置,在native层在 https请求发出时进行设置。TikTok使用 cronet网络库 。将libsscronet拖IDA反编译,搜索 x-gorfon 关键字,确实找到了:

结合 cronet源码,找到Native层设置请求Header函数:

void HttpRequestHeaders::SetHeader(const base::StringPiece& key,
                                   const base::StringPiece& value) {
  DCHECK(HttpUtil::IsValidHeaderName(key.as_string()));
  // TODO(ricea): Revert this. See crbug.com/627398.
  CHECK(HttpUtil::IsValidHeaderValue(value.as_string()));
  HeaderVector::iterator it = FindHeader(key);
  if (it != headers_.end())
    it->value.assign(value.data(), value.size());
  else
    headers_.push_back(HeaderKeyValuePair(key, value));
}

定位到该libsscronet中偏移为:0x2C44BC,HOOK该地址并打印出参数:

var SetHeaders = lib.base.add(0x2C44BC);
Interceptor.attach(SetHeaders, {
    onEnter: function (args) {
        var key = args[1].readPointer().readUtf8String();  //第一个属性是字符串的地址, 第二个属性长度
        var val = args[2].readPointer().readUtf8String();
        console.log(key + " : " + val);
    },
    onLeave: function (retval) {
         
    }
});

这次全部头部都可以看到了,完美!

然后打印设置参数签名字段时的调用栈:

var SetHeaders = lib.base.add(0x2C44BC);
Interceptor.attach(SetHeaders, {
    onEnter: function (args) {
 
        var key = args[1].readPointer().readUtf8String();  //第一个属性是字符串的地址, 第二个属性长度
        var val = args[2].readPointer().readUtf8String();
        if(key.indexOf("X-Gorgon") !== -1) {
            console.log(key + " : " + val);
            console.log('SetHeaders called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
            console.log("---------------------------end----------------------------------");
        }
    },
    onLeave: function (retval) {
         
    }
});

有两处调用,分别是 0x3a662c 和 0x2c4b78:

分别对两处进行反编译分析,0x3a662c 更像是tiktok定制的设置相关header处,关键代码反编译:

v128是从某个函数调用返回的结果,对该结果分割处理就得到了参数签名字段,因此用frida hook这里,然后输出调用时的两个参数查看

直接对0x3A658C地址进行HOOK,并打印出x0和x1寄存器的值,同时打印出X23寄存器的值:

var test = lib.base.add(0x3A658C);
Interceptor.attach(test, {
    onEnter: function (args) {
        console.log(args[0].readUtf8String());
        console.log(args[1].readUtf8String());
        console.log("X23:" + this.context.x23);
    },
    onLeave: function (retval) {
         
    }
});

输出如下:

https://pitaya-ttp2.us.tiktokv.com/api/v2/pitaya/distribute
cookie
passport_csrf_token=5766c07398074a324465468bd4bab579; passport_csrf_token_default=5766c07398074a324465468bd4bab579; d_ticket=474b6c31b9b433d344ad9368558503f7c0b97; multi_sids=7158650562190427178%3A41a587d2b1bda3bdf9a41a6ad5e966dd; cmpl_token=AgQQAPNSF-RPsLNmTGWesB0T_9hlCYxU_4dFYNGQWw; sid_guard=41a587d2b1bda3bdf9a41a6ad5e966dd%7C1706690864%7C5183999%7CSun%2C+31-Mar-2024+08%3A47%3A43+GMT; uid_tt=7ea855d54c1e8757b958a57c70ae4460747f060968a2b87122b64b9885ef693c; uid_tt_ss=7ea855d54c1e8757b958a57c70ae4460747f060968a2b87122b64b9885ef693c; sid_tt=41a587d2b1bda3bdf9a41a6ad5e966dd; sessionid=41a587d2b1bda3bdf9a41a6ad5e966dd; sessionid_ss=41a587d2b1bda3bdf9a41a6ad5e966dd; store-idc=useast5; store-country-code=us; store-country-code-src=uid; tt-target-idc=useast5; tt-target-idc-sign=TTaFL_-1FbxEnf7WPS8zSLktQ9q_ifo6_mDz3Av0v8FRvfiClSjLH0kitsJa9NPbyFwN8SuqcgAf5RVQ_6pupKVUrkkLUROrihSkzo6xgNW-cni9Upf7Cb8L-lH6iXsKuLG9rjNatWULp7Q0ttS4Hru25ZA2_piENXsxaYc_89Z_ZgwyZhzLe4dXLBLDW4YtWrXAazxRLpNwkL_LQ8fnueZBRmZgJ0QNA3SyztUm9UnjDrqCZtTsTqrOS6zSxPoOfEL0UFxY12F5qPCgX84eh3_gifeiXxcmNkHZgPTNwSX0NOpTEw9kYLc9zOEWQ1IPMgXEgGZueXyYE-gHE7GfSrGZq41r_KC6qgb26LryHaXNg324JZbTPRBbz-AwRyHE0YeexTdtw260Yid1TDSUQx6jbHI7zDxMfCE9cJCPJye25D3Uj3hP7TsPt4bBkCt5jaHGdXvMIHeGDXSDfnhZy0HU64KS3Yh9sVNSA3nniaYgC4T2mekD3k4KvvmFIB74; install_id=7330181047176857374; ttreq=1$ef5245324d322906a97679c1d5607b943302a796; odin_tt=1aa7c920ceb63edc6557473a4e1787da2c6a470b275459df0bc31298c6923c6e66dc4673cf75b9373e546e2654bc598fda5ba22e95d91ceb33de9a5ebdeb90ff7c27f43f5e7825b5ba92ac9ea05f8932; msToken=7DDzVQRIMB7ctDaC0N7hcu7PbQ4dQmHhHa9Ggd1-kGq0ZuDkSXR3cxNzjfie5mEcNUksJSMEhiniITA8vwhqdOkXXJgm5tbe6-3Cf_ZdS8hSWMQBslxhNYshHyweLw==
x-vc-bdturing-sdk-version
2.3.5.i18n
x-bd-kmsv
0
x-tt-dm-status
login=1;ct=1;rt=1
x-ss-req-ticket
1707126766871
x-bd-client-key
#baXvVHqzV2VM8S1JcXbNUSdy2etUU3s95T2Yea6/0XO4pibZxVQ/PXaR09LfGTqLTlCPYtNGJ26+tkzb
pns_event_id
75
content-type
application/json; charset=utf-8
content-length
919
x-tt-store-region
us
x-tt-store-region-src
uid
x-ss-dp
1233
x-tt-trace-id
00-78af3eb21065b9fc3a23cbc6058a04d1-78af3eb21065b9fc-01
user-agent
com.zhiliaoapp.musically/2023302050 (Linux; U; Android 11; en; Mi 9T Pro; Build/RKQ1.200826.002; Cronet/TTNetVersion:996128d2 2024-01-12 QuicVersion:ce58f68a 2024-01-12)
accept-encoding
gzip, deflate, br
X23:0x790584aee0

参数1是https请求的url,参数2看起来是https请求的header, X23的地址位于 libmetasec_ov.so模块的0x88ee0处。这样基本可以确定0x88ee0 是获取签名的关键函数。

对该函数HOOK并打印参数和返回值:

function waitForModule(moduleName) {
    return new Promise(resolve => {
        const interval = setInterval(() => {
            const module = Process.findModuleByName(moduleName);
            if (module != null) {
                clearInterval(interval);
                resolve(module);
            }
        }, 0);
    });
}
 
 
waitForModule("libmetasec_ov.so").then((lib) => {
    logger(`[*][+] Found libsscronet at: ${lib.base}`)
    hook_tt_get_sig(lib);
});
 
 
function hook_tt_get_sig(lib) {
    var get_sig = lib.base.add(0x88ee0);
    Interceptor.attach(get_sig, {
        onEnter: function (args) {
            console.log("arg0:" + args[0].readUtf8String());
            console.log("arg1:" + args[1].readUtf8String());
        },
        onLeave: function (retval) {
            console.log("retval: " + retval.readUtf8String());
        }
    });
}

arg0:https://log16-normal-useast8.us.tiktokv.com/service/2/app_alert_check/?device_id=7330167195161052677&aid=1233&tt_info=dGMFEAAAcbZMj0j60zx0QZ36CmqwscC_mg_FI33giq8TCyxwgZ0k7cu5UKyTp1L9dV-LfNfW4lXh%0Ar0nUiGJiKZ3gDTrfQD3ReFJzPYPt0nAafGTrwTYpE-PyqOZoVMC5oDuJFBWuFqqya6HwUuGxN5yO%0AP49E6kSu1rM_1-xY36xXTYPC8gekr5bUXyHyfmxJnNIap0t8JqKQW72gWlmb7RGJWnEqALZSuTrS%0ATlIvTOFF4LzJrprGoRGAbUs0pqvYanBTbQfZ8c-8VUd8A1FOepNFvxnnbv6168SjPh9alAq0NGfz%0AgYkwcsVvqb5POQBKWMJskxct2mcizBAqpKVQsDteOKuuci_QYcniwyQ7B5AF-nQsWAhLmuJVb_ya%0A3a3Dt6701GKDFSB7ObdAdK7JU5xlLCeevWdvdXCWvtDURvMiB1lhnCTf2lF--_UEmTCx5TxkHDnK%0AJUYq36SEDO1I1K5dy9PDtJ4HhgpdraMbymScFDrVVZAdflINaUbBcXSGrbjyRrfGke4Zi0LivqZq%0A1cRpYWELr9AoDT48PziFXh6Bmj3CXGRJAa-d0XdNtyDvvik5PhCeqN8PTH1PwA6vv7VsqkpnLny0%0APtL34eTrw0ThDdJQGH3UTr9jVNixJZ4dMTLhu8MZJCaNpEgAoWhWOPErTN9O3YkOutVsDXiqgjIJ%0AG8lpRCK2LGWEIoZXa0qKBtzG0nvO52hs6XRFER6t6wSm1Ix2alR_SlxnzdMnqRxTdHkc_KU-QJ2d%0A_fThvP_9TseeU1T1T5miiLEOsrRqlYEmV_h48Zh-lPteWeMnGb-h4T4c_K6k8B6nWSUA3blq1M6J%0A7qW6dmcdhNpRfXP3WGsLa0D1XqUkPhhIS5Y6bd5N3yLxy_Q%3D%0A&iid=7330181047176857374&ac=wifi&channel=googleplay&app_name=musical_ly&version_code=330205&version_name=33.2.5&device_platform=android&os=android&ab_version=33.2.5&ssmix=a&device_type=Mi+9T+Pro&device_brand=Xiaomi&language=en&os_api=30&os_version=11&openudid=3e2d515cedf5f2b2&manifest_version_code=2023302050&resolution=1080*1920&dpi=480&update_version_code=2023302050&_rticket=1707127562679&is_pad=0&current_region=NZ&app_type=normal&sys_region=US&mcc_mnc=53028&timezone_name=Pacific%2FAuckland&residence=NZ&app_language=en&carrier_region=NZ&ac2=wifi5g&uoo=0&op_region=NZ&timezone_offset=43200&build_number=33.2.5&host_abi=arm64-v8a&locale=en&region=US&ts=1707127561&cdid=5c3ed0c6-8aaf-4018-9fb1-f7ada8bcea34&cronet_version=996128d2_2024-01-12&ttnet_version=4.2.137.48-tiktok&use_store_region_cookie=1
arg1:cookie
passport_csrf_token=5766c07398074a324465468bd4bab579; passport_csrf_token_default=5766c07398074a324465468bd4bab579; d_ticket=474b6c31b9b433d344ad9368558503f7c0b97; multi_sids=7158650562190427178%3A41a587d2b1bda3bdf9a41a6ad5e966dd; cmpl_token=AgQQAPNSF-RPsLNmTGWesB0T_9hlCYxU_4dFYNGQWw; sid_guard=41a587d2b1bda3bdf9a41a6ad5e966dd%7C1706690864%7C5183999%7CSun%2C+31-Mar-2024+08%3A47%3A43+GMT; uid_tt=7ea855d54c1e8757b958a57c70ae4460747f060968a2b87122b64b9885ef693c; uid_tt_ss=7ea855d54c1e8757b958a57c70ae4460747f060968a2b87122b64b9885ef693c; sid_tt=41a587d2b1bda3bdf9a41a6ad5e966dd; sessionid=41a587d2b1bda3bdf9a41a6ad5e966dd; sessionid_ss=41a587d2b1bda3bdf9a41a6ad5e966dd; store-idc=useast5; store-country-code=us; store-country-code-src=uid; tt-target-idc=useast5; tt-target-idc-sign=TTaFL_-1FbxEnf7WPS8zSLktQ9q_ifo6_mDz3Av0v8FRvfiClSjLH0kitsJa9NPbyFwN8SuqcgAf5RVQ_6pupKVUrkkLUROrihSkzo6xgNW-cni9Upf7Cb8L-lH6iXsKuLG9rjNatWULp7Q0ttS4Hru25ZA2_piENXsxaYc_89Z_ZgwyZhzLe4dXLBLDW4YtWrXAazxRLpNwkL_LQ8fnueZBRmZgJ0QNA3SyztUm9UnjDrqCZtTsTqrOS6zSxPoOfEL0UFxY12F5qPCgX84eh3_gifeiXxcmNkHZgPTNwSX0NOpTEw9kYLc9zOEWQ1IPMgXEgGZueXyYE-gHE7GfSrGZq41r_KC6qgb26LryHaXNg324JZbTPRBbz-AwRyHE0YeexTdtw260Yid1TDSUQx6jbHI7zDxMfCE9cJCPJye25D3Uj3hP7TsPt4bBkCt5jaHGdXvMIHeGDXSDfnhZy0HU64KS3Yh9sVNSA3nniaYgC4T2mekD3k4KvvmFIB74; install_id=7330181047176857374; ttreq=1$ef5245324d322906a97679c1d5607b943302a796; odin_tt=1aa7c920ceb63edc6557473a4e1787da2c6a470b275459df0bc31298c6923c6e66dc4673cf75b9373e546e2654bc598fda5ba22e95d91ceb33de9a5ebdeb90ff7c27f43f5e7825b5ba92ac9ea05f8932; msToken=KaEq98vvNTLCC9vvMJwobggElABP3DvaLMgNf9zMFpurwzHDGdnJbn7NJ53sdDQ6iyM_yaDcpgAxLQevASt6DqNlXZ7NNzYuOFnU6EHixIwVOy6KOhAVe2XkyGq47g==
x-tt-multi-sids
7158650562190427178%3A41a587d2b1bda3bdf9a41a6ad5e966dd
sdk-version
2
x-bd-kmsv
0
x-tt-dm-status
login=1;ct=1;rt=1
x-tt-token
0441a587d2b1bda3bdf9a41a6ad5e966dd041679e9cfeb96c72898bb183b8222bb1073d351793c1da7dca678b7cfc8c54af218b43f5dd2a4e0c8a71da5e1c2c8c45699afd524957260286c4b116e0df117c1c87de2a72c1faf791269c934718e8616e-1.0.1
x-ss-req-ticket
1707127562691
x-bd-client-key
#baXvVHqzV2VM8S1JcXbNUSdy2etUU3s95T2Yea6/0XO4pibZxVQ/PXaR09LfGTqLTlCPYtNGJ26+tkzb
multi_login
1
passport-sdk-version
19
pns_event_id
22
x-vc-bdturing-sdk-version
2.3.5.i18n
x-ss-dp
1233
x-tt-trace-id
00-78bb64b11065b9fc3a23cbc6055904d1-78bb64b11065b9fc-01
user-agent
com.zhiliaoapp.musically/2023302050 (Linux; U; Android 11; en; Mi 9T Pro; Build/RKQ1.200826.002; Cronet/TTNetVersion:996128d2 2024-01-12 QuicVersion:ce58f68a 2024-01-12)
accept-encoding
gzip, deflate, br
retval: X-Argus
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
X-Gorgon
8404203b0000114869cdb5ab8afdb91780878d0dc9ec86447c3f
X-Khronos
1707127563
X-Ladon
3iXZQdDtf+Q2E+rNj0dWBJ+O3XXJVszo5g4df4lQV1NNdQBz

如上,确定无误,四个签名字段和值是一块返回,以行分割后分别设置在请求头中。

3、直接调用

   废话不说了,配置环境过程以及一些细节卡了很久,直接上代码:

package com.zhiliaoapp.musically;
 
import capstone.api.Instruction;
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Module;
import com.github.unidbg.arm.backend.Unicorn2Factory;
import com.github.unidbg.file.FileResult;
import com.github.unidbg.file.IOResolver;
import com.github.unidbg.file.linux.AndroidFileIO;
import com.github.unidbg.hook.HookListener;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.jni.ProxyClassFactory;
import com.github.unidbg.linux.file.SimpleFileIO;
import com.github.unidbg.listener.TraceCodeListener;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.memory.MemoryBlock;
import com.github.unidbg.memory.SvcMemory;
import com.github.unidbg.pointer.UnidbgPointer;
import sun.rmi.runtime.Log;
 
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
 
public class MetaSec extends AbstractJni implements IOResolver<AndroidFileIO> {
 
    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;
    private Symbol free;
 
    public MetaSec() {
 
        emulator = AndroidEmulatorBuilder.for64Bit()
                .setProcessName("com.zhiliaoapp.musically")
                .addBackendFactory(new Unicorn2Factory(true))
                .build(); // 创建模拟器实例,要模拟32位或者64位,在这里区分
        final Memory memory = emulator.getMemory(); // 模拟器的内存操作接口
        //SvcMemory svcMemory = emulator.getSvcMemory();
        memory.setLibraryResolver(new AndroidResolver(23)); // 设置系统类库解析
 
        vm = emulator.createDalvikVM(); // 创建Android虚拟机
        vm.setVerbose(false); // 设置是否打印Jni调用细节
        vm.setJni(this);
 
        //载入依赖so库
        vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libPitayaObject.so"), false);
        vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libAndroidPitayaProxy.so"), false);
        vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libc++_shared.so"), false);
 
        //模块绑定的java层类
        DvmClass k = vm.resolveClass("ms/bd/o/k");
        DvmClass a0 = vm.resolveClass("ms/bd/o/a0",k);
        vm.resolveClass("com/bytedance/mobsec/metasec/ov/MS", a0);
 
        //加载目标模块
        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libmetasec_ov.so"), false);
        module = dm.getModule();
 
        //emulator.traceCode(module.base, module.base + module.size);
        dm.callJNI_OnLoad(emulator); // 手动执行JNI_OnLoad函数

        free = module.findSymbolByName("free", true);
 
        //读取测试参数
        String url = readFile("unidbg-android/src/test/resources/test_url.txt");
        MemoryBlock block = memory.malloc(url.length(),true);
        UnidbgPointer url_ptr = block.getPointer();
        url_ptr.write(url.getBytes());
 
        String header = readFile("unidbg-android/src/test/resources/test_header.txt");
        System.out.println(header);
        MemoryBlock block_header = memory.malloc(header.length(),true);
        UnidbgPointer header_ptr = block_header.getPointer();
        header_ptr.write(header.getBytes());
 
        //emulator.traceCode(module.base, module.base + module.size);
        //调用目标签名函数
        Number number = module.callFunction(emulator,
                0x88ee0,
                url_ptr, header_ptr);
        block.free();
        block_header.free();

        if(number.longValue() != 0) {
            //输出返回值
            UnidbgPointer result = memory.pointer(number.longValue());
            System.out.println(result.getString(0));
            //调用者释放内存
            free.call(emulator, number.longValue);
        }
 
    }
 
 
    public static void main(String[] args) throws Exception {
        new MetaSec();
    }
 
    @Override
    public FileResult<AndroidFileIO> resolve(Emulator<AndroidFileIO> emulator, String pathname, int oflags) {
        System.out.println("PATHNAME:" + pathname);
//        if (pathname.equals("/system/lib/libc.so")){
//            System.out.println("LIBSO");
//            File reg = new File("unidbg-android\\src\\main\\resources\\android\\sdk23\\lib\\libc.so");
//            return FileResult.<AndroidFileIO>success(new SimpleFileIO(oflags,reg,pathname));
//        }
//        if (pathname.equals("/proc/self/exe")){
//            System.out.println("EXE");
//            return FileResult.<AndroidFileIO>success(new SimpleFileIO(oflags, new File("E:\\Douyin\\unidbg-0.9.7\\unidbg-android\\src\\test\\resources\\dylib\\base.apk"), pathname));
//        }
//        if (pathname.equals("/sys/devices/system/cpu/online")){
//            System.out.println("ONLINE");
//            return FileResult.<AndroidFileIO>success(new SimpleFileIO(oflags, new File("E:\\Douyin\\unidbg-0.9.7\\unidbg-android\\src\\test\\resources\\dylib\\online"), pathname));
//        }
 
        return null;
    }
 
    @Override
    public int getStaticIntField(BaseVM vm, DvmClass dvmClass, String signature) {
        System.out.println("getStaticIntField: " + signature);
        if ("com/bytedance/mobsec/metasec/ov/MS->a()V".equals(signature)) {
            return 0x40;
        }
        throw new UnsupportedOperationException(signature);
    }
    @Override
    public void callVoidMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        System.out.println("callVoidMethod: " + signature);
        switch (signature) {
            case "com/bytedance/mobsec/metasec/ov/MS->a()V":
                System.out.println("> Patched: com/bytedance/mobsec/metasec/ov/MS->a()V");
                return;
        }
        super.callVoidMethod(vm, dvmObject, signature, varArg);
    }
 
    @Override
    public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        System.out.println(signature);
        switch (signature) {
            case "com/bytedance/mobsec/metasec/ov/MS->b(IIJLjava/lang/String;Ljava/lang/Object;)Ljava/lang/Object;":
                return null;
        }
        throw new UnsupportedOperationException(signature);
    }
 
    private String readFile(String fileName) {
        String res="";
        try{
            FileInputStream fin = new FileInputStream(new File(fileName));
            int length = fin.available();
            byte [] buffer = new byte[length];
            fin.read(buffer);
            res = new String(buffer);
            fin.close();
        }
        catch(Exception e){
            e.printStackTrace();
        }
        return res;
    }
}

测试通过

未完待续 

1、libsscronet.so中怎么拿到 libmetasec_ov.so中参数签名函数地址的(libmetasec_ov.so初始化时传入了libsscronet.so中的回调传递)。

2、X-Argus是什么串(加密后的 protobuf数据,包含运行时信息、设备、渠道等)

CCTV果冻爽
关注
专栏目录
Unidbg调用-补环境V3-主动调用
dafan0的博客
06-29 152
*注意:**这一部分没有看见有价值的内容,复习时可略过,需要时再看。
短视频dy(某音)高版本最新最全4种抓包方案,第1种让你秒破QUIC协议,破解抓包难题,看我这一篇就够了!
热门推荐
m0_37802824的博客
08-14 1万+
一般大多数网站、APP最常用的是http、https协议,而某两款最火的短视频dy(某音)、ks(某手)最新版使用的是quic协议(见附录1),导致fiddler和charles无法直接抓到包(某音app 13.5版本以下可以直接抓到包). 而我给大家带来的几种方案都是亲测可行的,主要思路是禁用或者绕过quic相关的so加载,迫使它走https协议。某音的相关so文件是libsscronet.so.........
某音26.6.0最新版抓包方案,修改so绕过ssl
weixin_45892228的博客
08-26 3815
先上成品图,成品下载放到最后面下面说下23.3的解决方案 可以参考。
某音商城抓包
qq_62204036的博客
09-10 485
的值,点击最上边函数名,再按tap键按空格键查看函数的so层地址。圈出来的就是内存地址。需要注意的是frida一定要通过进程id去hook,要不然是找不到这个so文件的。解压apk在lib文件找到libsscronet.so文件,使用ida打开。修改的,不管之前有多少return,只要最后return出的值改了就行。进入ida后搜索VerifyCert。点击f5转为伪代码,目标就是修改。这两个函数就是我们要通过。
某音短视频APP 最新版(21.8)SSL PINNING 绕过
Sajor的博客
05-12 1万+
某音短视频APP 最新版 21.8 抓包方案
tiktok加密参数分析
csdnMomBOOM的博客
03-03 2883
tiktok使用了Chomium的网络协议栈组件Cronet,位于apk lib目录下libsscronet.so,sslpinning功能通过导入ssl库函数SSL_CTX_set_custom_verify实现,可以将第二个参数校验模式置0,或者第三个参数回调函数的返回值置0完成绕过。方式一:hook绕过方式二:patch绕过来回调函数返回处,利用异常退出代码的8字节空间进行插入MOV X0, #0的指令,做到修改的代码最少,修改的点位最少的效果。
探秘TikTok签名生成器:一款高效动态签名工具
gitblog_00042的博客
06-19 526
探秘TikTok签名生成器:一款高效动态签名工具 去发现同类优质开源项目:https://gitcode.com/ 在数字世界中,安全和隐私是至关重要的,特别是在与社交媒体平台交互时。TikTok Signature 是一个强大的开源项目,专为生成TikTok API调用所需的动态签名而设计。它基于Node.js构建,并利用Playwright库以实现高性能的签名生成。如果你正在寻找一种可靠的方法...
.Net(C#)对接TikTok开放平台,动态生成API签名(sign)
weixin_43604220的博客
12-07 1471
.NEt(C#)对接TikTok公众平台,完成身份验证后,根据请求api动态生成请求签名
宇宙大厂x-gorgon0408、最新版22.7版抓包方案libsscronet,绕过sslpinning 直接修改so,逆向终于学习到了
m0_70847308的博客
10-27 746
抖音、x-gorgon,0408,抓包,libsscronet,逆向
支持4g模块GPS功能 源码包以及测试工具.zip
07-16
Android版本4g模块适配GPS功能 gnss2.0源码以及GPS搜星测试工具,适用于Android11以上版本。测试时GPS天线必须使用专用天线,一般的天线信号强度太弱搜不到卫星信号。Google要求最新android10必须用gnss 1.1以上,android11要求gnss 2.0以上。 1. 下载gnss 2.0版本软件包后解压,更新源码hardware\interfaces\gnss\2.0\default\ 目录,更新后在这个目录下执行下 “touch *”,确保编译时候能识别到更新。 2. device.mk编译添加: PRODUCT_PACKAGES += \ android.hardware.gnss@2.0-impl \ android.hardware.gnss@2.0-service 3. 将gps.default.so 放到/vendor/lib64/hw/下面(gps.default.so 文件一般可以找模块原厂提供)。
tiktok signature、xbogus
07-06
为了正确地处理TikTok的Signature和X-Bogus,开发者需要了解其具体的计算方法和使用规则,这可能涉及到查看TikTok API的官方文档(如果有的话),或者通过分析网络请求来逆向工程这些值的生成逻辑。在Node.js中,这...
抖音17.3抓包效验文件libsscronet.so
05-17
抖音17.3抓包效验文件libsscronet.so
tiktok api composer 包
11-02
例如,要遵守TikTok的数据隐私政策,合理使用用户授权,避免过于频繁的请求以防止被封禁,同时注意处理API调用可能出现的错误和异常。此外,熟悉OAuth 2.0认证流程也很重要,因为大多数社交媒体平台(包括TikTok)都...
TikTok-API-PHP:用于 PHP 的非官方 TikTok API。 加入我们的 Discord 服务器
08-03
composer require ssovit/tiktok-api 正在寻找无水印视频 API? 它可以按月订阅。 请参阅下面的计划和联系方式。 用法 遵循/example目录中的/example $ api = new \ Sovit \ TikTok \ Api ( array ( /* config ...
tiktok-rss:无服务器lambda可以为任何TikTok用户生成RSS feed
05-06
Node.js中的无服务器Lambda函数可为TikTok上的任何用户生成正确的RSS feed。 安装 npm install -g serverless git clone git@github.com:conoro/tiktok-rss.git cd tiktok-rss npm install serverless deploy 然后...
TikTok多语言商城系统源码+落地页 附搭建教程
最新发布
09-25
TikTok多语言商城系统源码+落地页 附搭建教程 环境 nginx php7.4.33 redis5.0.8 Memcached 1.6.6 mysql5.6 phpMyAdmin 伪静态 location / { try_files $uri $uri/ /index.php?$query_string; }
tiktok xa xl xg xk算法测试记录
qq517348412的博客
11-12 1880
tiktok xa xl xg xk算法测试记录
tiktok最新风控算法以及视频播放量问题研究
qq517348412的博客
11-13 4102
tiktok最新风控算法以及视频播放量问题研究
x-ladon x-argus python
09-18
X-Ladon和X-Argus是Python编程语言的两种库或框架。它们都是用于网络安全领域的工具,并且都提供了许多有用的功能。 X-Ladon是一个轻量级的Python库,用于开发和部署RESTful风格的Web服务。它旨在提供一种简单、可扩展和高性能的方法来构建和管理Web服务。X-Ladon提供了许多功能,如身份验证和授权、数据验证、参数转换和过滤、请求和响应加密等。使用X-Ladon,开发人员可以快速构建安全可靠的Web服务,并且可以轻松地扩展和管理它们。 X-Argus是一个功能强大的网络流量分析框架,用于实时监控和分析网络流量。它使用Python编程语言,并提供了许多工具和功能,用于捕获、解析和分析网络数据包。X-Argus可以用于网络流量监控、异常检测、入侵检测系统等。它具有高性能和可扩展性,并且可以与其他相关工具和系统集成。 总而言之,X-Ladon和X-Argus都是Python编程语言中用于网络安全领域的重要工具。它们提供了丰富的功能和灵活性,使开发人员能够快速构建和管理安全可靠的网络服务和分析系统。无论是开发Web服务还是进行网络流量分析,使用这些工具能够提高效率和安全性。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值