某y网页端参数获取

已于 2023-01-10 12:32:06 修改
阅读量2.9k 收藏 15
点赞数 3
文章标签: javascript 开发语言
于 2022-09-03 01:26:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40979337/article/details/126672657
版权

一分析接口

在这里插入图片描述

发现 喜欢的作品接口 地址如上
get请求带上了很多参数 里面比较重要的就是 mstoken 和 x bogus了

以下讲解x bogus参数的获取

在这里插入图片描述

Hook cookie 会发现报错 说重复定义 说明js中有反hook的代码

搜索找到其位置

在这里插入图片描述
替换文件干掉反hook代码之后 也无法正确调试cookie生成的位置 关键参数 都在ob混淆的JS代码中 发现也hook不了
cookie先放一放

全局搜索 x-bogus参数

在这里插入图片描述
这里发现有两个地方生成了

首先 在浏览器环境下 可以发现

在这里插入图片描述
其实这里这个frontierSign就是进入第一个函数的入口(但是并不会调用,因为是假的)

但是 经测验 无论怎样刷新 网站都不会自身 进入到这两个函数

说明并未调用这两函数 而且 通过主动条调用在其浏览器环境 生成出来的值的长度也不正确 emm。。 短了点
在这里插入图片描述
就说明这个加密是假的 。。

于是 又从头开始

在调试中
在这里插入图片描述
这里发现 会把mstoken的值放入到localstroge 和sessionstorge中

然后再取出来

在这里插入图片描述
这里发现有很多检测 如果检测成功应该会返回true吧

在经过大量的调试之后 终于找到一个像xbogus的位置
在这里插入图片描述

发现当第一个参 为一串乱码字符,第二个参数为”s2”的时候 或者当第一个参数 为get请求地址的url 第二个参数为null时 会生成一个正确x-bogus参数

在node 的V8环境下 补上环境

在这里插入图片描述

有很多检测环境的部分

在这里插入图片描述
用py试下:

在这里插入图片描述

声明:如有违规,请联系我删除!!!!!!

zk935960518
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
最新巨量算数(X-Bogus、-signature、msToken参数加密分析结果(1.0.0.22)
10-09
最新(X-Bogus、_signature、msToken参数加密分析结果。文件内包含完整的JS加密混淆算法文件与Python调用生成加密参数的脚本
x-bogus、a-bogus、msToken参数说明和获取
u013444182的博客
12-11 9009
x-bogus、a-bogus、msToken参数说明和获取
抖音a_bogus,mstoken参数爬虫逆向补环境2024-06-15最新版
最新发布
weixin_48673014的博客
06-12 4014
可以看到,加密最后运行的函数是s.apply(b,u)并且赋值给了l,那么我们可以大胆猜测一下,这个l就是返回的加密结果,但是我们知道request中有很多加密参数,而且这个代码是jsvmp,所以我们可以认为,这里是调用了jsvmp的指令函数,这个指令函数加密了我们的a_bogus,但是也被其他的一些需求调用,所以说我们要定位到加密a_bogus的时机。首先看一下接口的加载器,也就是发送请求的调用栈,挨个查看之后不难发现,加密的入口应该在这两处,由于栈中的调用顺序是从下往上,所以我们先看下面那个入口。
【WEB逆向】关于tiktok参数msToken,X-Bogus,_signature生成
weixin_46874932的博客
05-23 1万+
msToken,X-Bogus,_signature
X-Bogus、_signature、mstoken、fp分析
qq_25541217的博客
08-01 5921
_signature、X-Bogus、mstoken、fp参数分析
web-RPC之sekiro
weixin_50699509的博客
08-17 1361
web-RPC之sekiro
tiktok mstoken xb signature
qq_41151858的博客
04-21 184
本文以教学为基准、本文提供的可操作性不得用于任何商业用途和违法违规场景。
最新版tiktok网页版X-bougs和_signature
热门推荐
weixin_44691004的博客
11-27 1万+
声明:文章内容仅供学习参考,严禁用于商业用途,否则由此产生一切后果与作者无关,如有侵权请联系作者进行删除。 前言:可知从5月份开始,抖音正式开放了web的接口,然后进行了一次又一次的风控升级,从最初的_signature 到增加滑块,然后再到现在的jsvm套一层混淆加上mstoken&x-bougs等参数。通过分析发现国内部分接口只需要cookie,而不需要验签,当然这里的cookie就有多种办法可以获得,其中最简单的就是opencv识别过滑块的cookie。这里要分析的是tiktok,无需co.
X-bogus python实现
qq_46891342的博客
10-11 2335
【代码】X-bogus python实现。
Linux服务器配置与管理:Apache服务器安装配置.pptx
05-01
- `httpd-2.4.6-45.el7.x86_64.rpm`:这是Apache服务器的主要程序包,必须在服务器安装。 - `httpd-devel-2.4.6-45.el7.x86_64.rpm`:这个是开发程序包,包含了编译和开发Apache模块所需的头文件和库。 - `...
javascript基础PPT.zip
07-05
JavaScript基础PPT.zip文件很可能是某位讲师或教育机构为了教授JavaScript基础知识而编排的一套教学材料。以下是对JavaScript基础知识的详细阐述: 一、JavaScript简介 JavaScript是由Netscape公司的Brendan Eich在...
inertia-calculator:计算基本几何形状的 URDF 惯性截面
07-02
JavaScript是一种广泛应用于网页和服务器编程的脚本语言,其在Web开发领域的普及使得这个工具可以方便地集成到Web界面或者Web服务中,用户可以通过浏览器或者API接口进行交互。 计算惯性参数的过程通常涉及以下...
原生js
03-03
4.模块:通过import和export关键字实现模块化,如`export const add = (x, y) => x + y;`和`import { add } from './math.js';` 七、面向对象编程 1. 类(Class):ES6引入了类的概念,但实质上仍基于原型继承。...
JavaScript语法手册.pdf
11-26
- `Math`对象的方法:如`abs()`返回数的绝对值,`acos()`返回一个数的反余弦,`asin()`返回一个数的反正弦,`atan()`返回一个数的反正切,`atan2()`返回从X轴到点(y,x)的角度,`ceil()`返回大于或等于其数值参数的...
抖音X-Bogus加密解析(全网最快)
qq_47459180的博客
04-01 2848
想着偷个懒,还是发现有想学习技术的兄弟,商量着把这个抖音的逆向给干一下,这个我都把要补的环境贴出来了,照着写上去不会嘛。有关xb的教学基本随处可见,苦思冥想后,还是暂时出一期教学,我们搞快点!直接一步写到位。来看一下吧,这玩意到底难在哪先来个好看的,大晚上熬夜写博客,真的难受。找下你对象视频,我们进入人家的列表页稍微的检查检查。。。。- f12打开开发者工具进行监听,找一个叫aweme/v1/web/aweme/post/的接口文档。双击点开即可发现惊喜!
js逆向案例-X-Bogus/signature算法分析
十一姐的博客
03-23 1万+
目录一、案例分析二、signature定位与分析三、X-Bogus定位与分析四、滑块captchaBody还未研究 一、案例分析 案例网址,研究的是这个接口,获取用户视频的接口 研究的参数是请求参数当中的X-Bogus和_signature,并不是所有接口都需要这两个参数,有的并不校验,有的只有cookie即可了,有的有这两个参数即可了,具体接口具体分析,本文只是研究下这两个参数的生成逻辑思路 二、signature定位与分析 采用xhr定位signature,首先清除缓存,然后刷新网页,会定位到
WEB逆向—X-Bogus逆向分析(纯算+补环境)
q2919761440的博客
04-25 1398
此平台 本人 仅限研究。只针对某些算法参数进行研究。网站链接自己去找。
jsvmp逆向实战X-Bogus篇,算法还原
jerry3747的博客
03-22 1581
看过很多大佬关于X-Bogus算法还原的文章,都是通过log插桩,分析日志信息再结合动态调试一步步抽丝剥茧,最终还原算法,但是不同的插桩点带来的工作量是完全不同的。经过我的不断摸索,找到了一个更加简单高效的逆向方法。jsvmp的特性除了压缩、混淆、大循环之外,还有一个重要的特征,就是通过apply的方式调用方法,那么我们只需要在大循环的代码里面找到apply并打上日志断点,就可以直接在日志里面分析算法逻辑了,而不是依赖大量的动态调试。
X-Bogus、_signature、msToken、_ac_signature、fp逆向分析
qq_25541217的博客
09-05 6464
X-Bogus、_signature、msToken、_ac_signature、fp逆向分析
stat如何获取文件的某一个参数信息
04-05
在Linux中,可以使用stat命令获取文件的某一个参数信息。具体方法如下: 1. 打开终,输入以下命令: ``` stat 文件路径 ``` 2. 例如,要获取文件的大小信息,可以输入以下命令: ``` stat -c %s 文件路径 ``` 其中,-c选项表示指定输出格式,%s表示输出文件大小信息。 3. 运行命令后,即可获取文件的大小信息。除文件大小信息外,还可以通过指定不同的选项获取文件的其他信息,例如: - 文件的创建时间:使用%w选项; - 文件的修改时间:使用%y选项; - 文件的访问时间:使用%X选项。 具体的选项可以参考stat命令的帮助文档。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值