unidbg直接调用tiktok so生成签名

已于 2024-08-29 15:51:07 修改
阅读量4.3k 收藏 35
点赞数 37
分类专栏: 移动客户端安全 文章标签: 安全
于 2024-08-29 15:42:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a545958498/article/details/141679909
版权

Tiktok版本: 33.2.5 (24年1月25日)

1、前言

    通过对Tiktok抓包发现TikTok的所有http请求的头部增加了参数签名(x-argus、x-goron、x-khronos、x-ladon):

2、获取关键函数

直接将apk文件用jadx工具反编译,搜索关键字x-argus等,未搜索到任何关键字:

使用frida hook java层 Header对象的构造方法,发现有监控到https请求头设置,但是始终没有发现签名字段

var Header = Java.use("X.2jn");
Header.$init.implementation = function(key, val) {
    console.log(key + " : " + val);
    this.$init(key, val);
}

接着尝试hook interceptor拦截器,打印出请求头部,结果输出的请求头部中还是没有签名字段

    //添加intercept
    var Request = Java.use("X.LGn");
    Request.LIZJ.implementation = function(intercept){
        var newObj = Java.cast(intercept, Java.use("java.lang.Object"));
        //console.log(newObj.getClass());
        var new_cls = newObj.getClass();
        var class_name = new_cls.getName();
 
        if(!mmp[class_name]) {
            mmp[class_name] = 1;
            var hook_class = Java.use(class_name);
            hook_class.intercept.implementation = function(tt){
                var res = this.intercept(tt);
/*              var rq = tt.request();
                console.log(rq.getUrl()); */
 
                var request = getFieldVal(res, "LIZ");
                //console.log(getFieldVal(request, "LIZ"));
                //console.log(getFieldVal(request, "LIZJ"));
                //console.log(getFieldVal(request, "LJI"));
                 
                var headers = getFieldVal(request, "LIZLLL");
                //console.log(headers);
                //console.log("----------------------------------------------------");
                return res;
            }
        }
 
        this.LIZJ(intercept);
    }

Java层找了一遍始终找不到签名关键字符串,那很大可能是在native层设置,在native层在 https请求发出时进行设置。TikTok使用 cronet网络库 。将libsscronet拖IDA反编译,搜索 x-gorfon 关键字,确实找到了:

结合 cronet源码,找到Native层设置请求Header函数:

void HttpRequestHeaders::SetHeader(const base::StringPiece& key,
                                   const base::StringPiece& value) {
  DCHECK(HttpUtil::IsValidHeaderName(key.as_string()));
  // TODO(ricea): Revert this. See crbug.com/627398.
  CHECK(HttpUtil::IsValidHeaderValue(value.as_string()));
  HeaderVector::iterator it = FindHeader(key);
  if (it != headers_.end())
    it->value.assign(value.data(), value.size());
  else
    headers_.push_back(HeaderKeyValuePair(key, value));
}

定位到该libsscronet中偏移为:0x2C44BC,HOOK该地址并打印出参数:

var SetHeaders = lib.base.add(0x2C44BC);
Interceptor.attach(SetHeaders, {
    onEnter: function (args) {
        var key = args[1].readPointer().readUtf8String();  //第一个属性是字符串的地址, 第二个属性长度
        var val = args[2].readPointer().readUtf8String();
        console.log(key + " : " + val);
    },
    onLeave: function (retval) {
         
    }
});

这次全部头部都可以看到了,完美!

然后打印设置参数签名字段时的调用栈:

var SetHeaders = lib.base.add(0x2C44BC);
Interceptor.attach(SetHeaders, {
    onEnter: function (args) {
 
        var key = args[1].readPointer().readUtf8String();  //第一个属性是字符串的地址, 第二个属性长度
        var val = args[2].readPointer().readUtf8String();
        if(key.indexOf("X-Gorgon") !== -1) {
            console.log(key + " : " + val);
            console.log('SetHeaders called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
            console.log("---------------------------end----------------------------------");
        }
    },
    onLeave: function (retval) {
         
    }
});

有两处调用,分别是 0x3a662c 和 0x2c4b78:

分别对两处进行反编译分析,0x3a662c 更像是tiktok定制的设置相关header处,关键代码反编译:

v128是从某个函数调用返回的结果,对该结果分割处理就得到了参数签名字段,因此用frida hook这里,然后输出调用时的两个参数查看

直接对0x3A658C地址进行HOOK,并打印出x0和x1寄存器的值,同时打印出X23寄存器的值:

var test = lib.base.add(0x3A658C);
Interceptor.attach(test, {
    onEnter: function (args) {
        console.log(args[0].readUtf8String());
最低0.47元/天 解锁文章
Unidbg调用-补环境V3-主动调用
dafan0的博客
06-29 296
*注意:**这一部分没有看见有价值的内容,复习时可略过,需要时再看。
tiktok xa xl xg xk算法测试记录
qq517348412的博客
11-12 2125
tiktok xa xl xg xk算法测试记录
TK抓包协议分析:So层逆向
最新发布
2503_90751938的博客
03-17 1621
第一章搞定了,Tk的上网环境,但是还不能抓包,因为Tk系的协议不太一样用的是QUIC协议那我们今天的目标是绕过这个协议,让他降级,实现我们成功抓包的目的(还有会番外篇非降级抓包,可以小小期待一下)文章尽量还原每一步,尽可能写的详细,如果还是有问题可以加我微信沟通Alive0501。
抖音app+Fiddler-Everywhere+雷电模拟器抓包
u011364318的博客
03-11 1574
3)将/data/misc/user/0/cacerts-added/文件夹下的文件剪切到/etc/security/cacerts/文件夹下。将修改的libsscronet.so文件覆盖模拟器中的抖音app目录下的/lib/arm64中的libsscronet.so文件。选中1LL,依次选择菜单栏的“Edit”-“Patch-program”-“Change word”再进入/lib/arm64/文件夹中,复制libsscronet.so文件。模拟器选择“更多”-“共享文件”-“打开电脑文件夹”
某音商城hook so层进行抓包
rni88的博客
04-03 1700
某音(懂的都懂)版本27.8 ida7.7全插件版(一定要下载全插件版) 打开mt工具,进入lib文件找到libsscronet.so文件,直接复制一份使用ida打开。
容易上手的tiktok采集uid工具
weixin_53561069的博客
08-11 1741
tiktok uid一键采集
探秘TikTok签名生成器:一款高效动态签名工具
gitblog_00042的博客
06-19 723
探秘TikTok签名生成器:一款高效动态签名工具 去发现同类优质开源项目:https://gitcode.com/ 在数字世界中,安全和隐私是至关重要的,特别是在与社交媒体平台交互时。TikTok Signature 是一个强大的开源项目,专为生成TikTok API调用所需的动态签名而设计。它基于Node.js构建,并利用Playwright库以实现高性能的签名生成。如果你正在寻找一种可靠的方法...
.Net(C#)对接TikTok开放平台,动态生成API签名(sign)
weixin_43604220的博客
12-07 1775
.NEt(C#)对接TikTok公众平台,完成身份验证后,根据请求api动态生成请求签名
宇宙大厂x-gorgon0408、最新版22.7版抓包方案libsscronet,绕过sslpinning 直接修改so,逆向终于学习到了
m0_70847308的博客
10-27 826
抖音、x-gorgon,0408,抓包,libsscronet,逆向
某音研究记录
Songsong
07-13 1254
7/10 https://bbs.pediy.com/thread-259906.htm抖音短视频x-gorgon算法入口定位查找(2020-06-02) 经过测试,获取信息如下:方法1 :通过charles工具进行抓包,发现能够正常的返回数据,但是我们看到他的header除了 x-gorgon和x-tt-trace-id以外,其他的都很好理解,我们会发现,如果我们改变了URL的参数,但是header内容得不到对应的修改,就会返回不到数据(返回如下 {"status_code":2154,"awem
tiktok api composer 包
11-02
例如,要遵守TikTok的数据隐私政策,合理使用用户授权,避免过于频繁的请求以防止被封禁,同时注意处理API调用可能出现的错误和异常。此外,熟悉OAuth 2.0认证流程也很重要,因为大多数社交媒体平台(包括TikTok)都...
android开发环境搭建
07-15
android开发环境搭建,包括SDK的安装,eclipes的安装、JDK的安装、ADT的安装
TikTok-API-PHP:用于 PHP 的非官方 TikTok API。 加入我们的 Discord 服务器
08-03
composer require ssovit/tiktok-api 正在寻找无水印视频 API? 它可以按月订阅。 请参阅下面的计划和联系方式。 用法 遵循/example目录中的/example $ api = new \ Sovit \ TikTok \ Api ( array ( /* config ...
TikTok多语言商城系统源码+落地页 附搭建教程
09-25
TikTok多语言商城系统源码与落地页的构建是一项涉及多种技术和工具的复杂工程。为实现一个功能完备、多语言支持的在线商城,需要对前端与后端的开发有着深入的理解。本系统采用的服务器环境包括nginx作为HTTP服务器...
全开源TikTok跨境商城源码
11-25
该源码利用TikTok这一全球流行的短视频社交媒体平台的巨大流量和用户基础,为商家提供一个直接嵌入TikTok内部的在线商城功能。通过这种集成的商城系统,商家可以实现产品的一键铺货和提货,从而简化了传统的跨境电商...
tiktok-rss:无服务器lambda可以为任何TikTok用户生成RSS feed
05-06
Node.js中的无服务器Lambda函数可为TikTok上的任何用户生成正确的RSS feed。 安装 npm install -g serverless git clone git@github.com:conoro/tiktok-rss.git cd tiktok-rss npm install serverless deploy 然后...
某音短视频APP 最新版(21.8)SSL PINNING 绕过
热门推荐
Sajor的博客
05-12 1万+
某音短视频APP 最新版 21.8 抓包方案
手机app抓包
TTXSDEKK的博客
05-13 3337
之前发过一篇手机app抓包的文章,最近试了一下,按照之前的方法抖音直接提示无法联网了。 在网上搜了一遍发现是调用了libsscronet.so这个文件里面的方法验证ssl,要用ida打开libsscronet.so找到函数的返回值然后更改保存之后覆盖原来的文件,非常之复杂。 但是我发现有个简单粗暴的方法可以用: 确定配好证书,然后安装好xposed+JustTrustMe。 找到libsscronet.so文件并直接删除。 然后你就回发现抖音可以正常抓包了 但是这样是有一个缺点的,抖音在运行一会儿之后就
某音26.6.0最新版抓包方案,修改so绕过ssl
weixin_45892228的博客
08-26 4810
先上成品图,成品下载放到最后面下面说下23.3的解决方案 可以参考。
x-gorgon 03算法
10-11
x-gorgon 03算法是字节跳动(TikTok 的母公司)开发的一种用于数据加密和保护的算法。它在字节跳动的移动应用程序中被广泛使用,用来保护用户隐私和保密信息。 x-gorgon 03算法是一个复杂的加密算法,它结合了多种不同的加密方法和技术,包括哈希函数、对称加密和非对称加密等。这些方法的组合使得数据在传输过程中得以加密,只有具有相应解密密钥的接收方才能够解密和使用这些数据。 具体来说,x-gorgon 03算法包括以下步骤: 1. 首先,通过哈希函数对原始数据进行处理,生成一段摘要。 2. 通过非对称加密,使用私钥对摘要进行加密,生成数字签名。 3. 将数字签名和加密后的摘要与原始数据一起发送给接收方。 4. 接收方使用公钥对数字签名进行解密,得到摘要。 5. 再次使用哈希函数对接收到的原始数据进行处理,生成另一段摘要。 6. 将两段摘要进行比较,如果相等,则说明数据未被篡改。 通过x-gorgon 03算法,字节跳动可以确保移动应用程序传输的数据不会被窃取或篡改。这种保护措施对于用户隐私和敏感信息的保护非常重要,同时也有助于构建用户信任。这也是为什么字节跳动采用x-gorgon 03算法来保护他们的应用程序和用户数据。
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值