解析某音X-Bogus参数

最新推荐文章于 2024-06-13 20:22:17 发布
最新推荐文章于 2024-06-13 20:22:17 发布
阅读量1w 收藏 83
点赞数 22
分类专栏: js逆向 文章标签: 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljc545w/article/details/128834402
版权
本文详细介绍了从X-Bogus还原19位数组的步骤,包括正向的加密过程和逆向的解密方法。主要涉及三个关键函数的功能和作用,以及如何通过这些函数和特定的字符串种子还原原始数据。文章还揭示了X-Bogus如何校验params、form-data、user-agent、时间及canvas信息。
摘要由CSDN通过智能技术生成

文章目录

写在前面

本文主要介绍从X-Bogus还原19位数组的过程,方便理解算法。

目标

// 从
var x_bogus = 'DFSzswVVUyXANrqJSkdAml9WX7jG';
// 还原出
var x_array = [64, 0.00390625, 1, 28, 7, 22, 69, 63, 0, 186, 99, 164, 90, 214, 32, 0, 190, 144, 201];

正向梳理

主要加密函数

function _0x2f2740(a, c, e, b, d, f, t, n, o, i, r, _, x, u, s, l, v, h, g) {
    let w = new Uint8Array(19);
    return w[0] = a,
    w[1] = r,
    w[2] = c,
    w[3] = _,
    w[4] = e,
    w[5] = x,
    w[6] = b,
    w[7] = u,
    w[8] = d,
    w[9] = s,
    w[10] = f,
    w[11] = l,
    w[12] = t,
    w[13] = v,
    w[14] = n,
    w[15] = h,
    w[16] = o,
    w[17] = g,
    w[18] = i,
    String.fromCharCode.apply(null, w);
}

function _0x46fa4c(a, c) {
    let e, b = [], d = 0, f = "";
    for (let a = 0; a < 256; a++) {
        b[a] = a;
    }
    for (let c = 0; c < 256; c++) {
        d = (d + b[c] + a.charCodeAt(c % a.length)) % 256,
        e = b[c],
        b[c] = b[d],
        b[d] = e;
    }
    let t = 0;
    d = 0;
    for (let a = 0; a < c.length; a++) {
        t = (t + 1) % 256,
        d = (d + b[t]) % 256,
        e = b[t],
        b[t] = b[d],
        b[d] = e,
        f += String.fromCharCode(c.charCodeAt(a) ^ b[(b[t] + b[d]) % 256]);
    }
    return f;
}

function _0x2b6720(a, c, e) {
    return String.fromCharCode(a) + String.fromCharCode(c) + e;
}

主要算法

以上三个函数来自某音web端webmssdk.js。x_array打乱顺序后,经过上述三个函数的混淆,最终变成21个字节的乱码字符串,乱码字符串再经过一系列变换,得到28位的x_bogus。
具体过程如下:

var short_str = "Dkdpgh4ZKsQB80/Mfvw36XI1R25-WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=";
function U8ArrayToXBogus(array1){
    // 打乱数组顺序
    array2 = [array1[0], array1[2], array1[4], array1[6], array1[8], array1[10], array1[12], array1[14], array1[16], array1[18], array1[1], array1[3], array1[5], array1[7], array1[9], array1[11], array1[13], array1[15], array1[17]];
    // 再一次打乱顺序,得到19位乱码字符串
    u1 = _0x2f2740.apply(null,array2);
    // 对乱码字符串重新编码(实际上是异或加密)
    u2 = _0x46fa4c.apply(null,[String.fromCharCode(255),u1]);
    // 在乱码字符串开头添加两个固定字符
    u = _0x2b6720.apply(null,[2,255,u2]);
    var XBogus = "";
    // 每次循环生成4个字符,循环7次,每次使用乱码字符串的三个字符
    for (var i = 0; i <= 20; i += 3) {
        var charCodeAtNum0 = u.charCodeAt(i);
        var charCodeAtNum1 = u.charCodeAt(i + 1);
        var charCodeAtNum2 = u.charCodeAt(i + 2);
        var baseNum = charCodeAtNum2 | charCodeAtNum1 << 8 | charCodeAtNum0 << 16;
        var str1 = short_str[(baseNum & 0xfc0000) >> 18];
        var str2 = short_str[(baseNum & 0x3f000) >> 12];
        var str3 = short_str[(baseNum & 0xfc0) >> 6];
        var str4 = short_str[(baseNum & 0x3f) >> 0];
        XBogus += str1 + str2 + str3 + str4;
    }
    return XBogus;
}

解析

x_array打乱顺序得到如下数组:

array2 = [64, 1, 7, 69, 0, 99, 90, 32, 190, 201, 0.00390625, 28, 22, 63, 186, 164, 214, 0, 144];

_0x2f2740.apply(null,array2)得到:

var u1 = '@\x00\x01\x1C\x07\x16E?\x00ºc¤ZÖ \x00¾\x90É';
// 数组形式
// [64, 0, 1, 28, 7, 22, 69, 63, 0, 186, 99, 164, 90, 214, 32, 0, 190, 144, 201]

_0x2f2740函数打乱数组顺序,并以字符串形式返回。
_0x46fa4c.apply(null,[String.fromCharCode(255),u1])得到:

var u2 = '-%.8wE^\x8F9ñð\x10\x9E¹ý\x9CV,9';
// 数组形式
// [45, 37, 46, 56, 119, 69, 94, 143, 57, 241, 240, 16, 158, 185, 253, 156, 86, 44, 57]

_0x46fa4c根据传入的第一个参数生成长度256的数组,u1与数组成员做异或运算,得到u2;
异或运算存在以下特征,明文与key异或得到加密结果,加密结果与key异或得到明文:

a = 11,b = 12;
a ^ b = 7;
a ^ 7 = b;
b ^ 7 = a;

所以_0x46fa4c.apply(null,[String.fromCharCode(255),u2])可还原到u1。
_0x2b6720.apply(null,[2,255,u2])得到:

u = '\x02ÿ-%.8wE^\x8F9ñð\x10\x9E¹ý\x9CV,9';
// 数组形式
u_arr = [2, 255, 45, 37, 46, 56, 119, 69, 94, 143, 57, 241, 240, 16, 158, 185, 253, 156, 86, 44, 57]

取u_arr前三位,进行位运算得到第一个种子数字:

>>> (2 << 16) | (255 << 8) | 45
196397
>>> hex(196397)
'0x2ff2d'
>>>

对种子数字再进行运算,这里需要配合二进制一起看:

>>> short_str = "Dkdpgh4ZKsQB80/Mfvw36XI1R25-WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe="
>>> binex = lambda x:'0' * (24 - len(bin(x)) + 2) + bin(x).replace('0b','')
>>> binex(0x2ff2d)
'000000101111111100101101'
>>> binex(0xfc0000)
'111111000000000000000000'
>>> binex(0xfc0000 & 0x2ff2d)
'000000000000000000000000'
>>> binex(0x3f000)
'000000111111000000000000'
>>> binex(0x3f000 & 0x2ff2d)
'000000101111000000000000'
>>> binex(0xfc0)
'000000000000111111000000'
>>> binex(0xfc0 & 0x2ff2d)
'000000000000111100000000'
>>> binex(0x3f)
'000000000000000000111111'
>>> binex(0x3f & 0x2ff2d)
'000000000000000000101101'

实际上是将一个24位二进制数拆分为4个6位二进制数字,得到4个下标:

>>> bin((0x2ff2d & 0xfc0000) >> 18)
'0b0'
>>> bin((0x2ff2d & 0x3f000) >> 12)
'0b101111'
>>> bin((0x2ff2d & 0xfc0) >> 6)
'0b111100'
>>> bin((0x2ff2d & 0x3f) >> 0)
'0b101101'

换算成十进制,分别是0,47,60,45

>>> short_str[0]
'D'
>>> short_str[47]
'F'
>>> short_str[60]
'S'
>>> short_str[45]
'z'

与原始字符串的DFSzswVVUyXANrqJSkdAml9WX7jG的前四个字符一致。
再进行六次循环,即可得到完整的x_bogus。

逆向梳理

前面的内容已经把整体的思路写出来了,再简单梳理一下流程吧。

>>> short_str.index('D')
0
>>> short_str.index('F')
47
>>> short_str.index('S')
60
>>> short_str.index('z')
45
>>> 0 << 18 | 47 << 12 | 60 << 6 | 45 << 0
196397
>>> binex(0 << 18 | 47 << 12 | 60 << 6 | 45 << 0)
'000000101111111100101101'
>>> hex(0 << 18 | 47 << 12 | 60 << 6 | 45 << 0)
'0x2ff2d'
>>> 0x2ff2d >> 16 & 0xff
2
>>> 0x2ff2d >> 8 & 0xff
255
>>> 0x2ff2d >> 0 & 0xff
45

这样就成功还原了数组u_arr的第0到第2个成员,再来看第二组:

>>> short_str.index('s')
9
>>> short_str.index('w')
18
>>> short_str.index('V')
56
>>> short_str.index('V')
56
>>> binex(9 << 18 | 18 << 12 | 56 << 6 | 56 << 0)
'001001010010111000111000'
>>> hex(9 << 18 | 18 << 12 | 56 << 6 | 56 << 0)
'0x252e38'
>>> 9 << 18 | 18 << 12 | 56 << 6 | 56 << 0
2436664
>>> 0x252e38 >> 16 & 0xff
37
>>> 0x252e38 >> 8 & 0xff
46
>>> 0x252e38 >> 0 & 0xff
56

也成功还原了u_arr的第3到第5个成员。

结论

根据上述分析,可整理出还原函数:

function XBogusToU8Array(x_bogus){
    u = "";
    for(i = 0;i<x_bogus.length;i+=4){
        seed = 0;
        seed |= short_str.indexOf(x_bogus[i]) << 18;
        seed |= short_str.indexOf(x_bogus[i + 1]) << 12;
        seed |= short_str.indexOf(x_bogus[i + 2]) << 6;
        seed |= short_str.indexOf(x_bogus[i + 3]) << 0;
        u += String.fromCharCode(seed >> 16 & 0xff);
        u += String.fromCharCode(seed >> 8 & 0xff);
        u += String.fromCharCode(seed & 0xff);
    }
    u2 = _0x46fa4c.apply(null,[String.fromCharCode(255),u.slice(2)]);
    a = u2.charCodeAt(0),r = u2.charCodeAt(1),c = u2.charCodeAt(2),_ = u2.charCodeAt(3),
    e = u2.charCodeAt(4),x = u2.charCodeAt(5),b = u2.charCodeAt(6),u = u2.charCodeAt(7),
    d = u2.charCodeAt(8),s = u2.charCodeAt(9),f = u2.charCodeAt(10),l = u2.charCodeAt(11),
    t = u2.charCodeAt(12),v = u2.charCodeAt(13),n = u2.charCodeAt(14),h = u2.charCodeAt(15),
    o = u2.charCodeAt(16),g = u2.charCodeAt(17),i = u2.charCodeAt(18);
    arr = [a, c, e, b, d, f, t, n, o, i, r, _, x, u, s, l, v, h, g];
    arr = [arr[0],arr[10],arr[1],arr[11],arr[2],arr[12],arr[3],arr[13],arr[4],arr[14],arr[5],arr[15],
           arr[6],arr[16],arr[7],arr[17],arr[8],arr[18],arr[9]];
    arr[1] = arr[1] + 0.00390625;
    return arr;
}

测试

在这里插入图片描述

进阶

x_array可拆分成8个部分:

x_array = [64, 0.00390625, 1, 28, 7, 22, 69, 63, 0, 186, 99, 164, 90, 214, 32, 0, 190, 144, 201];
// 第一部分,固定值
x_1 = [64];
// 第二部分,UA加密过程使用的salt,小数在运算过程中会取整
x_2 = [0.00390625, 1, 28];
// 第三部分,Query String Parameters经过md5变换得到
x_3 = [7,22];
// 第四部分,form data经过md5变换得到,[69,63]对应的是空字符串
x_4 = [69,63];
// 第五部分,UA和x_2经过一系列变换得到long_str,long_str经过md5变换得到x_5
x_5 = [0,186];
// 第六部分,32位时间戳转换为byte数组
x_6 = [99, 164, 90, 214];
// 第七部分,canvas生成dataurl,与3735928559经过位运算得到32位数字,转换为byte数组
x_7 = [32, 0, 190, 144];
// 第八部分,0和前面18个数字逐个进行异或得到
x_8 = [201];

由此可见,X-Bogus会对params、form-data、user-agent、时间、canvas进行校验。

写在后面

本文章中所有内容仅供学习交流使用,不用于其他任何目的,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
若有侵权,请联系我立即删除。

勇敢自由
关注
  • 22
    点赞
  • 83
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
抖音a-bogus参数逆向补环境
06-27
问:抖音的a_bogus值有什么用? 1.抖音所有数据的校验都离不开a_bogus。 2.抖音作为最大的短视频平台他的数据是十分多且有用的。 3.获取批量抖音的数据,例如评论、无水印视频、弹幕监听、直播间抢货等。 4.学习使用各种浏览器断点。
抖音X-Bogus加密解析(全网最快)
qq_47459180的博客
04-01 3418
想着偷个懒,还是发现有想学习技术的兄弟,商量着把这个抖音的逆向给干一下,这个我都把要补的环境贴出来了,照着写上去不会嘛。有关xb的教学基本随处可见,苦思冥想后,还是暂时出一期教学,我们搞快点!直接一步写到位。来看一下吧,这玩意到底难在哪先来个好看的,大晚上熬夜写博客,真的难受。找下你对象视频,我们进入人家的列表页稍微的检查检查。。。。- f12打开开发者工具进行监听,找一个叫aweme/v1/web/aweme/post/的接口文档。双击点开即可发现惊喜!
nodejs 某音douyin网页端搜索接口及x_bogus、a_bogus(包含完整源码)(2024-06-13)
byc6352的专栏
06-13 1194
nodejs douyin网页端搜索接口及x_bogus、a_bogus(包含完整源码)(2024-06-13)
ttweb的X-Bogus ,_signature算法
05-27
使用node调用 安装node 执行 node.exe server.js 通过http调用
x-bogus、a-bogus、msToken等参数说明和获取
u013444182的博客
12-11 1万+
x-bogus、a-bogus、msToken等参数说明和获取
X-bogus python实现
qq_46891342的博客
10-11 2602
【代码】X-bogus python实现。
浅谈x-bougs
qq_53593099的博客
09-17 919
但他进行了环境检测,当然如果你还原了算法之后就可以无视。主要检测点就是加密函数数组里的第4,7,8。比如ubcode,有些是8,有些是12。比如搜索页跟直播间的xb就不一样。只需要改改这种小地方就又可以用了。这种情况一般是改了啥内定的参数。他没有太难扣就可以跑出结果。很多页面的xb是不通用的。扣xb还是比较简单的。用window导出即可。这里可以跟网页上的对比。然后copy网页的即可。
某短视频直播X-Bogus
weixin_35762183的博客
10-24 3120
X-Bogus, x-b,x-bogus
最新巨量算数(X-Bogus、-signature、msToken)参数加密分析结果(1.0.0.22)
10-09
"最新巨量算数(X-Bogus、-signature、msToken)参数加密分析结果(1.0.0.22)"这个标题揭示了一个针对特定加密机制的深度研究,这种加密机制可能被用于保护敏感信息,比如用户数据或者网络请求的安全性。...
最新巨量X-Bogus、-signature算法.zip
05-18
zip包内包含mToken、X-Bogus、_signature加密参数的JS算法,Python请求及调用算法示例代码!另作者博客内有对应的文章,详细描述有对三个参数的分析以及还原过程。可以配套学习使用,算法与Python程序可以直接使用。...
2024 dy最新a-bogus
最新发布
06-21
最新长ab纯JS算法, 最新a_bogus参数逆向分析及插桩调试技巧
tiktok signature、xbogus
07-06
tiktok 网页的 signature和Xbogus ,nodejs补环境版本,附带有node_modules
X-Bogus流程分析
weixin_47115747的博客
01-30 7430
X-Bogus流程分析
X-Bogus参数分析与Python爬虫实现
吴秋霖的博客
01-19 3808
加密参数X-Bogus分析与JsVMP算法还原
x-bogus _signature
Lank5735的博客
03-24 530
【代码】x-bogus _signature。
js逆向案例-X-Bogus/signature算法分析
热门推荐
十一姐的博客
03-23 1万+
目录一、案例分析二、signature定位与分析三、X-Bogus定位与分析四、滑块captchaBody还未研究 一、案例分析 案例网址,研究的是这个接口,获取用户视频的接口 研究的参数是请求参数当中的X-Bogus和_signature,并不是所有接口都需要这两个参数,有的并不校验,有的只有cookie即可了,有的有这两个参数即可了,具体接口具体分析,本文只是研究下这两个参数的生成逻辑思路 二、signature定位与分析 采用xhr定位signature,首先清除缓存,然后刷新网页,会定位到
巨量算数x-bogus _signatrue msToken解密
qq_47459180的博客
04-01 1032
巨量算数解密的话跟抖音及其类似,基本的数据请求没啥特别突出的,简单跟大家聊聊!第一个参数是msToken第二个是空值然后就是_signatrue签名参数加密进入函数生成的位置还是基本补环境的操作然后传入值,发现生成的签名参数长度不对,并不是147加入浏览器的cookie环境即可获取完整的签名解密数据至此这一部分的操作就完成了!
jsvmp逆向实战X-Bogus篇,算法还原
jerry3747的博客
03-22 1739
看过很多大佬关于X-Bogus算法还原的文章,都是通过log插桩,分析日志信息再结合动态调试一步步抽丝剥茧,最终还原算法,但是不同的插桩点带来的工作量是完全不同的。经过我的不断摸索,找到了一个更加简单高效的逆向方法。jsvmp的特性除了压缩、混淆、大循环之外,还有一个重要的特征,就是通过apply的方式调用方法,那么我们只需要在大循环的代码里面找到apply并打上日志断点,就可以直接在日志里面分析算法逻辑了,而不是依赖大量的动态调试。
本地部署x-bogus
08-03
X-Bogus是一个用于测试和模拟环境的虚拟服务器。本地部署X-Bogus意味着将X-Bogus服务器安装在本地环境中的计算机或服务器上。 首先,为了进行本地部署X-Bogus,我们需要获取X-Bogus的安装包或源代码。可以从官方网站或开源社区获取最新的X-Bogus版本。 接下来,我们需要在本地计算机或服务器上安装运行X-Bogus所需的软件和依赖项。具体的安装步骤可能因操作系统而异,但通常涉及以下几个步骤: 1. 安装并配置所需的运行环境,例如Node.js或其他运行X-Bogus的基础环境。 2. 解压或克隆X-Bogus的安装包或源代码到本地目录。 3. 打开终端或命令提示符,并导航至X-Bogus所在的目录。 4. 执行必要的命令或脚本以安装和配置X-Bogus。 一旦X-Bogus成功安装和配置在本地机器上,您可以根据需要进行自定义设置和调整。例如,您可以修改X-Bogus的配置文件以定义虚拟服务器的行为和响应。您还可以配置路由规则、设置特定的响应头和状态码等等。 在本地部署X-Bogus后,您可以使用它来模拟网络请求和响应,测试应用程序的各种场景和边界情况。您可以发送各种类型的请求,并模拟各种响应,以测试应用程序的鲁棒性和可靠性。 总结起来,本地部署X-Bogus需要获取安装包或源代码,安装运行X-Bogus所需的软件和依赖项,然后按照需要进行自定义设置和调整。这样,您便可以在本地环境中方便地使用X-Bogus来进行应用程序的测试和模拟。
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值