douyin 六神x-helios / x-medusa解密记录学习

在某音新版本的抓包中,经常会遇到两个熟悉的字段x-heliosx-medusa,它是新版本中风控的重要组成部分。

通常而言,我们可以使用像frida,unidbg来模拟计算出六神参数,比如说我们随便找一个23.9版本生成一个:

'X-Helios': 'RcuADv+pS6hIYDBIqK1cQvarDeE8ACQEGdfgGaKget3cvOfw',
'X-Medusa': '6ZQXZd34ggne5k3+D0AKACMsbkMV3IsRuj1JKGwOU3A2XuJzxMitXYnD5YLxpy22q3aQvuZAvrwbeJTckiPghDoJn2CUnPi5O2WHBgqLRvIYpks2rQQgLMVqU1P6pjRNsXXkZ9b8q7Hu2CCyevG/z54gwFA6BWWtiH7UeFijIjfA13bNQWUtnKj4n03QvFzXi9vnljbWRAfokG39ii+8bSw3sziqef6s8jVTKYf1R86oAjF9rs27tWeJ0hh7txGPrfkA27iqsmh6G71X2VDqYEEMnH19PNnihLXluULfG5j7d5d6Vcv6D4lJy52UCmUifyvSSCjBCdEuHuALi25Xn/mBhpOX+hFvk3aWRfbZbxXBY2VVzIMq/FHkquSbhedCkkT65CtuM6gvWoBwv2WyQ57qj1YpEg=='

但很少有人注意一点就是,六神参数既然是计算生成的,当然也可以被反推解密出来。

还是上述那个加密值,以x-medusa为例把它给反推倒下,在pb结构体中 "7" 字段的值 就代表了app的版本号。

douyin 六神x-helios / x-medusa解密记录学习_第1张图片

同样的也可以反推倒出来请求的时间戳,以x-helios为例,

{'secret_key': 'xhelios', 'ts_time:': '1696044267', 'aid': '1128'}

很明显ts_time就是请求的时间戳,aid 就是抖音的渠道分发号。

所以。。。。劝大家不要。。。要遵纪守法,做一个良好的公民。

你可能感兴趣的:(安卓逆向分析,学习,linux,运维,python)