【WEB逆向】关于tiktok参数msToken,X-Bogus,_signature生成

已于 2024-04-24 16:25:39 修改
阅读量1.6w 收藏 23
点赞数 9
文章标签: flask python
于 2023-05-23 16:34:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46874932/article/details/130829694
版权

tiktok逆向

本文只是技术探讨,如果对tiktok造成影响请告知,本人及时删除。在线联系VV:March_Hovez

从视频主页开始查找标题,如图下:

会发现加密参数的msToken,X-Bogus,_signature这个三个
以下开始算法研究

算法介绍

根据js代码抽取和去除花指令需要大量时间,以及绕过检测,
本编文件根本写不完。所以这里简单讲解一下算法生成过程,
tiktok的此次算法生成是使用JSVMP虚拟机模式,
膨胀了大量代码,校验是否为浏览器环境,其中检测了document,window,location,navigator.cavas,symbol,tostring.html,body,script,prototype等等,

算法生成研究

msToken,X-Bogus,_signature是jsVmp生成。

参数必选备注
msTokentrue非对称算法生成,和_signature参数相辅相成
X-Bogusfalse发现了cookie参与了运算,但是发空值,服务器并未进行检验,后期算法更新估计就会更新这一块,
_signaturetrue检验是否浏览器环境,如果非浏览器生成的算法则发包报错,其中关键点,_signature生成的时候,浏览器环境user-agent参与运算。

代码跟踪

代码太多贴入js文件。

    window.byted_acrawler.init({
        aid: 1988,
        dfp: !1,
        boe: !1,
        intercept: !0,
        enablePathList: ["/*"],
        region: "va-tiktok",
        mode: 513,
        isSDK: false
    });
//加上下面js
//https://sf16-secsdk.ttwstatic.com/obj/rc-web-sdk-gcs/webmssdk/1.0.0.195/webmssdk.js

代码编写

    var p = new XMLHttpRequest;
    p.open("GET", 'https://www.tiktok.com/api/comment/publish/?aid=1988&app_language=zh-Hant-TW&app_name=tiktok_web&aweme_id=7034791620910451970&battery_info=0.97&browser_language=zh-CN&browser_name=Mozilla&browser_online=true&browser_platform=Win32&browser_version=5.0%20%28Windows%20NT%2010.0%3B%20Win64%3B%20x64%29%20AppleWebKit%2F537.36%20%28KHTML%2C%20like%20Gecko%29%20Chrome%2F94.0.4606.81%20Safari%2F537.36&channel=tiktok_web&cookie_enabled=true&device_id=7062797146567869953&device_platform=web_pc&focus_state=true&from_page=video&history_len=6&is_fullscreen=false&is_page_visible=true&os=windows&priority_region=US&referer=https%3A%2F%2Fwww.tiktok.com%2F&region=JP&root_referer=https%3A%2F%2Fwww.tiktok.com%2F&screen_height=823&screen_width=1463&text=123&text_extra=%5B%5D&tz_name=Asia%2FShanghai&verifyFp=verify_kzfyihmc_9MFy9BZO_vzrg_4eUB_BTQG_EeTWUe5uPwoi&webcast_language=zh-Hant-TW', !0);
    p.timeout = 60000;
    p.setRequestHeader("Accept", "application/json, text/plain, */*");
    p.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
    p.setRequestHeader("x-tt-passport-csrf-token", "89fedbd4e9c37c1d3d7af4c84664cb7f");
    var result = p.send();

开发者测试


https://www.tiktok.com/api/comment/list/?aid=1988&app_language=ja-JP&app_name=tiktok_web&aweme_id=7228801069831179527&browser_language=zh-CN&browser_name=Mozilla&browser_online=true&browser_platform=Win32&browser_version=5.0%20%28Windows%20NT%2010.0%3B%20Win64%3B%20x64%29%20AppleWebKit%2F537.36%20%28KHTML%2C%20like%20Gecko%29%20Chrome%2F113.0.0.0%20Safari%2F537.36&channel=tiktok_web&cookie_enabled=true&count=20&current_region=JP&cursor=0&device_id=7231761221069440513&device_platform=web_pc&focus_state=true&fromWeb=1&from_page=video&history_len=9&is_fullscreen=false&is_page_visible=true&os=windows&priority_region=&referer=&region=JP&screen_height=1412&screen_width=2510&tz_name=Asia%2FShanghai&webcast_language=zh-Hans&msToken=g9DUJp7Zp2PoJZdfKNwFrli2niA1VrMhIR7v-uZy5SRLwgVqOMws0EawtMDrwFqaCsVWjqncIB0Oo41U8x4PuH3JOqwDBJdNj3jC9_qgGzfVxwjlGheCWF0IQyJQep_MgTzcQmjmGz8WnG0MRQ==&X-Bogus=DFSzswVOmCxANxKftt7nPYXAIQRM&_signature=_02B4Z6wo00001rlxQvQAAIDD2nuCn8zE5o65cUZAAMo897

在使用v8环境和nodejs环境中分别测试,效果还可以
理由fastapi搭建了tiktok的基本接口

tiktok的基本接口

评论截图

以下是评论的一部分截图

涉及研究技术问题,代码就不公布,觉得文章比较好就给我点个关注

来源:H~

Sping__
关注
最新巨量X-Bogus、_signature参数逆向分析与算法还原
吴秋霖的博客
05-12 3090
最新巨量X-Bogus、_signature参数逆向分析!数据加密Hook、插桩分析与解密算法实现!
_signature、a_bogus、X-BogusmsToken,s_v_web_id生成【2024.5.21】全站通用a-bogus
m0_56967679的博客
05-21 1382
_signature、a_bogus、X-BogusmsToken,s_v_web_id生成【2024.5.21】全站通用a-bogus
最新巨量算数(X-Bogus-signaturemsToken参数加密分析结果(1.0.0.22)
10-09
最新(X-Bogus、_signaturemsToken参数加密分析结果。文件内包含完整的JS加密混淆算法文件与Python调用生成加密参数的脚本
最新版tiktok网页版X-bougs和_signature
weixin_44691004的博客
11-27 1万+
声明:文章内容仅供学习参考,严禁用于商业用途,否则由此产生一切后果与作者无关,如有侵权请联系作者进行删除。 前言:可知从5月份开始,抖音正式开放了web的接口,然后进行了一次又一次的风控升级,从最初的_signature 到增加滑块,然后再到现在的jsvm套一层混淆加上mstoken&x-bougs等参数。通过分析发现国内部分接口只需要cookie,而不需要验签,当然这里的cookie就有多种办法可以获得,其中最简单的就是opencv识别过滑块的cookie。这里要分析的是tiktok,无需co.
基于 Python 爬取 TikTok 搜索数据 Tiktok爬虫(2025.3.17)
weixin_74305707的博客
03-17 4095
在数据分析和网络爬虫的应用场景中,我们经常需要获取社交媒体平台的数据,例如 TikTok。本篇文章介绍如何使用 Python 爬取 TikTok 用户搜索数据,并解析其返回的数据。
抖音a_bogus,mstoken参数爬虫逆向补环境2024-06-15最新版
m0_74824780的博客
01-06 5340
可以看到,加密最后运行的函数是s.apply(b,u)并且赋值给了l,那么我们可以大胆猜测一下,这个l就是返回的加密结果,但是我们知道request中有很多加密参数,而且这个代码是jsvmp,所以我们可以认为,这里是调用了jsvmp的指令函数,这个指令函数加密了我们的a_bogus,但是也被其他的一些需求调用,所以说我们要定位到加密a_bogus的时机。我们发现,检测的还不少。我们重新断点进入,看看到底调用了什么,我们可以发现,首次调用的函数是这里,我们可以单步调试进去看一下什么时候调用的s.apply。
TikTok(抖音国际版)逆向,全球的小姐姐们,我来啦!
努力,可能成功!放弃,注定失败!
02-21 7371
开源地址 首先抛出GitHub地址吧~多多支持指点,谢谢。AYTikTokPod 简述 iOS逆向工程指的是软件层面上进行逆向分析的过程。 在一般的软件开发流程中,都是过程导向结果。在逆向中,你首先拿到的是结果,然后是去分析实现这个结果的过程。理清过程之后,才开始进行逆向的代码编写,在整个流程中,分析过程的占比是90%,代码书写的过程只占10%。所以本篇更多的讲的是一个思路,代码其实很日常 ...
Python逆向爬取Tik Tok,MsToken,X-Bogus以及signature
weixin_74305707的博客
03-19 941
tiktok作为字节海外的自媒体平台,具有很非常大的价值,本文旨在教会大家实现Tik Tok的签名获取以及数据的最终爬取。
tiktok X-Bogus 逆向分析
qlyb_lv的博客
07-09 1402
tiktok X-Bogus 逆向分析
tiktok 弹幕逆向 分析
ff2766958292的博客
02-19 1171
proto、tiktoktiktok弹幕、弹幕分析、弹幕逆向
X-Bogus、_signaturemsToken、_ac_signature、fp逆向分析
qq_25541217的博客
09-05 7001
X-Bogus、_signaturemsToken、_ac_signature、fp逆向分析
X-Bogus、_signaturemstoken、fp分析
qq_25541217的博客
08-01 6239
_signature、X-Bogusmstoken、fp参数分析
ttweb的X-Bogus ,_signature算法
05-27
至于"tiktok"这个压缩包子文件的文件名,虽然没有明确说明,但有可能是与"ttweb"项目相关的代码库或资源文件,可能包含了实现X-Bogus和_signature算法的部分代码,或者是用于测试或演示该功能的数据。 综上所述,...
x-bogus、a-bogusmsToken参数说明和获取
热门推荐
u013444182的博客
12-11 1万+
x-bogus、a-bogusmsToken参数说明和获取
逆向篇:解决tiktok切换前后置虚拟摄像头卡住问题
u012085132的博客
08-14 2090
逆向解决Aosp因开发虚拟相机导致的tiktok直播时切换tiktok相机导致直播画面卡住问题
巨量算数x-bogus _signatrue msToken解密
qq_47459180的博客
04-01 1964
巨量算数解密的话跟抖音及其类似,基本的数据请求没啥特别突出的,简单跟大家聊聊!第一个参数msToken第二个是空值然后就是_signatrue签名参数加密进入函数生成的位置还是基本补环境的操作然后传入值,发现生成的签名参数长度不对,并不是147加入浏览器的cookie环境即可获取完整的签名解密数据至此这一部分的操作就完成了!
js逆向案例-X-Bogus/signature算法分析
十一姐的博客
03-23 1万+
目录一、案例分析二、signature定位与分析三、X-Bogus定位与分析四、滑块captchaBody还未研究 一、案例分析 案例网址,研究的是这个接口,获取用户视频的接口 研究的参数是请求参数当中的X-Bogus和_signature,并不是所有接口都需要这两个参数,有的并不校验,有的只有cookie即可了,有的有这两个参数即可了,具体接口具体分析,本文只是研究下这两个参数生成逻辑思路 二、signature定位与分析 采用xhr定位signature,首先清除缓存,然后刷新网页,会定位到
[007]爬虫系列 | 某条加密参数_signature(短)逆向解析
GC怪兽的Blog
07-02 6399
一、背景 最近脑子瓦特了,无法专心学习,只能写写逆向了。记得前端时间也有人问过我关于某条_signature参数问题,现在就写篇文章叭。 该文章主要提供交流学习使用,请勿利用其进行不当行为! 如本篇文章侵犯了贵公司的隐私,请联系我马上删除! 如因滥用解密技术而产生的风险与本人无关! 备注:本文仅仅分析短_signature参数,长_signature参数下次再解析。 二、正文 1、找到_signature位置 打断点分析: 调试器调试 很明显_signature参数通..
F5 shape 最新版逆向分析(西南航空,TikTok)
m0_66839504的博客
03-06 3352
F5 shape逆向 西南航空 TikTok逆向 Shape请求头
tiktok shop教程
最新发布
03-22
### TikTok Shop 使用教程及相关文档 TikTok Shop 是一种允许商家通过 TikTok 平台销售商品的服务,它提供了开店、管理订单以及与第三方系统集成的功能。以下是有关 TikTok Shop 的使用教程、开店指南和 API 集成的相关信息。 #### 开店指南 要开设一家 TikTok Shop 商店,需遵循以下流程并完成必要的设置: 1. **注册账户** 用户需要访问 TikTok Business 或 TikTok Shop 官方网站,并创建一个商业账户[^2]。此过程可能涉及提供个人或企业的身份验证材料。 2. **商店配置** 登录到 TikTok Shop 后台管理系统后,可以开始配置店铺基本信息,包括但不限于商店名称、描述、物流方式和支付选项[^3]。 3. **产品上架** 店铺管理员可以通过后台上传商品图片、填写详情说明、设定价格和其他属性来发布新产品。支持批量导入功能以提高效率[^4]。 4. **营销工具应用** 利用平台内置的各种促销手段(如折扣券、限时抢购),吸引潜在客户关注您的品牌和服务[^5]。 #### API 集成 对于希望实现自动化操作或者与其他业务系统对接的企业来说,了解如何利用 TikTok 提供的开放接口至关重要。 - **OAuth 授权机制** 第一步是获取用户的授权许可以便后续调用受保护资源端点的数据访问权限[^6]。 - **RESTful APIs 调用示例** 下面展示了一个简单的 Python 请求片段用于查询当前登录用户下的所有活跃中的广告活动列表: ```python import requests url = "https://business-api.tiktok.com/open_api/v1.3/ad/get/" payload = { 'advertiser_id': '<your_advertiser_id>', } headers = { 'Access-Token': '<access_token>' } response = requests.post(url, json=payload, headers=headers) if response.status_code == 200: data = response.json() print(data) else: print(f"Error: {response.text}") ``` 上述脚本展示了基本的身份认证方法及其对应的 HTTP POST 方法发送参数的方式[^7]。 #### 参考官方文档 为了更深入地探索 TikTok Shop 功能特性及开发细节,请查阅其开发者中心发布的最新版技术手册[^8]。这些资料通常涵盖了从基础概念介绍直至高级场景实践的所有方面内容。 ---
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值