最新版tiktok网页版X-bougs和_signature

已于 2023-05-23 14:04:52 修改
阅读量1.6w 收藏 46
点赞数 21
分类专栏: 笔记 文章标签: 爬虫
于 2021-11-27 00:27:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44691004/article/details/121525888
版权

声明:文章内容仅供学习参考,严禁用于商业用途,否则由此产生一切后果与作者无关,如有侵权请联系作者进行删除。

2021.12.9

前言:可知从5月份开始,抖音正式开放了web的接口,然后进行了一次又一次的风控升级,从最初的_signature 到增加滑块,然后再到现在的jsvm套一层混淆加上mstoken&x-bougs等参数。通过分析发现国内部分接口只需要cookie,而不需要验签,当然这里的cookie就有多种办法可以获得,其中最简单的就是opencv识别过滑块的cookie。这里要分析的是tiktok,无需cookie,但对签名的校验就比较全面。

1.1 目标链接:https://www.tiktok.com/@closer_food?lang=zh-Hant-TW

需要科学上网
1.2 接口分析:
在这里插入图片描述
(这里备注一下,m接口与pc接口只是一个参数不同,其他完全相同)
这里对应的就是用户的详情信息,接口中含有加密参数X-bougs和_signature,通过重放攻击确定了我们需要攻克的就是这两个参数。
在这里插入图片描述

2.1 逻辑分析

总所周知,jsvm加密的逻辑是没办法从大搜索法出发了,虽然可以搜索出X-bougs关键字,但怎奈我js没到炉火纯青的地步,看不出个所以然来,所以还是从堆栈出发。

在这里插入图片描述
逐步看了下里面的逻辑,可以看出通过jsvm逻辑之后的发送请求,jsvm流程前也存在异步操作,这里我们在发送请求的地方下个断点,重放一下往回看。

在这里插入图片描述
这里细一点可以发现,一开始是没有加密的,放行一次后加密就加上了,可以看到arguments中已经存在加密。这里不选择进入jsvm逻辑,往上追可以看到是在一个异步中完成的发送请求。

在这里插入图片描述
在这个异步中可以发现一些有趣的逻辑,是一个Promise, 还有一些比较敏感的关键词

 var d = new XMLHttpRequest
(d.open(t.method.toUpperCase(), a(g, t.params, t.paramsSerializer), !0)
 d.send(l)

这里懂事的小伙伴已经清楚了,不就是重写了XMLHttpRequest的send和open嘛;

在这里插入图片描述
在这里插入图片描述
到此为止,就是需要验证我们的猜想了;在进入jsvm逻辑之前和之后分别整个断点;

进入jsvm逻辑前的断点,此时还没有加上相关加密参数;
在这里插入图片描述
进入jsvm之后,加密参数已经带上;
在这里插入图片描述
2.2 结论

到现在就逻辑非常清楚了,在有趣的逻辑里我们可以发现,XMLHttpRequest被作为参数一整个传进了jsvm逻辑,这里就可以用到手段就多了。

第一种手段就是rpc,这里推荐一下渣总的rpc调用框架,个人觉得这是未来的趋势,原理就是hook。感兴趣的可以去看一下。
https://github.com/virjar/sekiro

第二种手段就是老手段了,硬刚,扣代码补环境,这里提示下,主要补环境有三个地方,第一个是整个的jsvm逻辑, 其次就是初始化jsvm时的逻辑,也就是完成这个初始化,我们自己代码中XMLHttpRequest的open与send才会被重写,最后就是加密时的环境检测。

个人秉承着授人以鱼不如授人以渔的思想。

3.1 主要实现

我们主要的手段就是跟网站的加密一般,自己构造一个XMLHttpRequest,重写我们需要的接口需要的数据,然后也通过初始化jsvm逻辑,把我们构造的对象传入加密逻辑,然后返回加密好的数据。

3.2 实现步骤,首先是扣出jsvm逻辑,这里需要补上少量环境,给我们的window对象附上一个byted_acrawler对象,里面就存在着我们第二步初始化需要的init函数;
(这里调试是用的v8引擎,因为自己有写了一个环境检测自吐框架,实现加密逻辑后再修改成的node环境;)
这里可以看到已经再window上绑定了对象,下一步就是进行初始化,把XMLHttpRequest的send和open改写,既然要改写,那么我们就需要先定义XMLHttpRequest对象,这一步具体就是扣;扣未被改写前的send和open;这里就直接掠过扣代码这种无聊的事情;
在这里插入图片描述

第三步就是根据对应的接口,伪造异步操作中的对象操作,这里面也会检测较多的环境;
就打个断点慢慢扣的事呗;主要是环境的检测都要过掉或补齐,不然会直接返回空值;
在这里插入图片描述

结果:
在这里插入图片描述

经测试用户接口 搜索接口等都是跑得通的;

最后说一下,能看到这篇文章的,都是对爬虫感兴趣,又有兴趣去做采集的,相对来说,本文所说到的加密解密还是比较适合新手的,之所以这么说,等到你安安静静去分析时你就会恍然大悟,原来只是这样;跑通后就可以去还原自己喜欢的语言的源码,这样可以让自己更上一层楼,后面我也会去还原成python版本,这可能就是干爬虫的一个分水岭吧。源码放在下面的链接,之所以设置这个价格是希望各位看官能自己下手去提升,避免伸手党。
在这里插入图片描述

当然 要下载也乐意至极,里面有我一些debug的点没有删除但注释了,都是一些检测,可以借鉴学习学习。资源里还有一个彩蛋,关于ck的。

下载链接可搜索公众号: jqiu爬虫分析日记,如有问题可私聊或留言;

tiktok网页版signature
李玺
08-04 1万+
任何可操作性的内容与本文无关 文章内容仅供参考学习,如有侵权请联系作者进行删除 声明一下,付费订阅的是整个《签名逆向合集》专栏,而不是单篇文章,专栏最少更新15篇文章。 可以参考专栏《爬虫案例合集》 保不齐哪天方法就失效了,订阅需谨慎。 文章目录接口分析返回示例源码下载使用备注 官网链接:https://www.tiktok.com/ 接口分析 接口中有两个参数 verifyFp signature。 查看了下,Js内容基本抖音web版一样。 由于本案例采用的方式是RPC调用,所以具体调.
tiktok/抖音x-bogus参数分析
记录一些web逆向的过程
12-11 3425
分析tiktok的xbogus参数
ttweb的X-Bogus ,_signature算法
05-27
使用node调用 安装node 执行 node.exe server.js 通过http调用
tiktok滑块篇之Wasm扣代码
2503_90751938的博客
03-14 1144
免责声明: 本文内容仅供学习交流使用,请勿用于其他用途,如因使用本文内容而产生任何问题,与作者无关,如果本文侵害贵司权益,请联系下架处理最后还剩下一个图片请求返回的内容是加密的,本章把这个图片加密解一下本篇做的是web的滑块,app跟web用的是同样的加密,用扣代码的方式把这个搞定。
TikTok是否有电脑版?深入解析与使用指南
LoveadLuna的博客
08-13 2175
虽然TikTok目前没有官方的电脑版客户端,但通过网页版、安卓模拟器等方式,用户仍然可以在电脑上使用TikTok并享受大屏体验。对于那些习惯于在电脑上操作的用户来说,这些方法可以帮助他们更好地管理创作TikTok内容。
TikTokWeb 开源项目教程
gitblog_00760的博客
08-15 460
TikTokWeb 开源项目教程 TikTokWebTikTokDownload 网页版项目地址:https://gitcode.com/gh_mirrors/ti/TikTokWeb 项目介绍 TikTokWeb 是一个开源项目,旨在提供一个用于抓取分析 TikTok 视频数据的 Web 应用。该项目由 Johnserf-Seed 开发,主要功能包括视频下载、用户信息获取数据分析等。通过该...
【WEB逆向】关于tiktok参数msToken,X-Bogus,_signature生成
热门推荐
weixin_46874932的博客
05-23 1万+
msToken,X-Bogus,_signature
网页自动填写工具_Tiktok网页版大更新,一起做一波自动化!
weixin_39678531的博客
12-18 3898
小伙伴们Tiktok网页版最近已经更新啦,新版比之前简陋的旧版有了更丰富的功能,旧网页版只能勉强用来做上传,这些改变让网页版的一些辅助工具有了更大的想象空间来帮助我们更好的运营。访问网页版的需要开启全局代理模式,访问 http://tiktok.com/login/ ,账号登陆后右上角已经有了账号标识的头像及个人资料页访问入口,这在旧版是没有的,容易混淆上传界面的代码没有改动,以前一样,访问其...
探秘TikTok签名生成器:一款高效动态签名工具
gitblog_00042的博客
06-19 724
探秘TikTok签名生成器:一款高效动态签名工具 去发现同类优质开源项目:https://gitcode.com/ 在数字世界中,安全隐私是至关重要的,特别是在与社交媒体平台交互时。TikTok Signature 是一个强大的开源项目,专为生成TikTok API调用所需的动态签名而设计。它基于Node.js构建,并利用Playwright库以实现高性能的签名生成。如果你正在寻找一种可靠的方法...
TikTok_webapp
02-13
TikTok_webapp
tiktok x-bougs signature X-Gnarly分析
ff2766958292的博客
10-13 1922
tiktok、x_bogus、signature、a-bogus、dy
最新巨量算数(X-Bogus、-signature、msToken)参数加密分析结果(1.0.0.22)
10-09
最新(X-Bogus、_signature、msToken)参数加密分析结果。文件内包含完整的JS加密混淆算法文件与Python调用生成加密参数的脚本
TikTok-31.5.3-All-Multi-Dmitry.apk
10-09
TikTok-31.5.3-All-Multi-Dmitry.apk
TikTok-27.2.4-v8a-Mod-Dmitry-v2.apk
07-21
TikTok-27.2.4-v8a-Mod-Dmitry-v2.apk
Python逆向爬取Tik Tok,MsToken,X-Bogus以及signature
最新发布
weixin_74305707的博客
03-19 925
tiktok作为字节海外的自媒体平台,具有很非常大的价值,本文旨在教会大家实现Tik Tok的签名获取以及数据的最终爬取。
TikTok网页版访问受限?一文解析解决方案
yige18968248370的博客
02-12 885
TikTok网页版是许多用户用来浏览视频、管理账号发布内容的重要工具。然而,部分用户可能会遇到无法打开TikTok网页版的问题,如页面加载失败、显示网络错误或提示访问受限。本文将帮助你快速排查问题,并提供解决方案,让你顺利访问TikTok网页版
tiktok xbogus 纯算分析
wangenjie1992的博客
07-19 928
tiktok xbogus 纯算分析
最新巨量X-Bogus、_signature参数逆向分析与算法还原
吴秋霖的博客
05-12 3080
最新巨量X-Bogus、_signature参数逆向分析!数据加密Hook、插桩分析与解密算法实现!
tiktok X-Bogus 逆向分析
qlyb_lv的博客
07-09 1395
tiktok X-Bogus 逆向分析
tiktok 爬虫
03-14
### TikTok 爬虫 Python 抓取数据 API 使用方法 #### 工具介绍 TikTok Crawler 是一个强大的开源工具,用于抓取分析 TikTok 平台上的视频、用户信息以及其他相关内容。该工具由开发者 NearHuiwen 创建,能够为数据分析、市场研究个人兴趣提供支持[^2]。 #### 安装依赖库 为了实现 TikTok 数据的抓取,通常需要安装一些必要的 Python 库。以下是常用的几个库及其功能: - **requests**: 用于发送 HTTP 请求并接收响应。 - **BeautifulSoup (bs4)**: 解析 HTML XML 文档,提取所需的数据。 - **selenium**: 自动化浏览器操作,适用于动态加载的内容。 - **pandas**: 处理存储抓取到的数据。 可以通过以下命令安装这些库: ```bash pip install requests beautifulsoup4 selenium pandas ``` #### 基本使用流程 下面是一个简单的代码示例,展示如何利用 `requests` `BeautifulSoup` 来抓取 TikTok 的公开页面数据: ```python import requests from bs4 import BeautifulSoup def fetch_tiktok_data(url): headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36' } response = requests.get(url, headers=headers) if response.status_code == 200: soup = BeautifulSoup(response.text, 'html.parser') # 提取视频标题 video_title = soup.find('meta', property='og:title')['content'] # 提取视频描述 video_description = soup.find('meta', property='og:description')['content'] return { 'title': video_title, 'description': video_description } else: raise Exception(f"Failed to retrieve data from {url}. Status code: {response.status_code}") # 测试函数 url = "https://www.tiktok.com/@username/video/id" data = fetch_tiktok_data(url) print(data) ``` 上述代码展示了如何从 TikTok 页面中提取元数据(如标题描述)。需要注意的是,某些情况下可能需要处理 JavaScript 动态渲染的内容,在这种场景下可以考虑使用 Selenium 或 Playwright 进行自动化浏览[^1]。 #### 高级功能扩展 如果需要更深入的功能,比如批量下载视频或获取用户的粉丝列表,则可以借助专门设计的爬虫框架或者第三方 API 接口。例如,通过调用官方或其他非官方的 RESTful APIs 实现更加灵活的操作。 注意:在实际开发过程中应严格遵守目标网站的服务条款以及法律法规,避免因不当行为引发法律风险。 ---
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

A九三

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值