Je crack l'appli TikTok
Vložit
- čas přidán 17. 05. 2024
- On décompile l'appli tiktok pour pouvoir injecter du code et intercepter les communication réseau pour pouvoir peut etre comprendre l'algo et devenir un star de tiktok.
Newsletter: cours.cocadmin.com/newsletter
TikTok: / cocadmin
Formations: cours.cocadmin.com
Rejoignez le discord: / discord
Twitter: / cocadmin
Instagram: / cocadmin - Věda a technologie
Abonnes toi a la newsletter pour voir les bonus de cette vidéo :)
mailchi.mp/118f9876cefe/cocadmin
hello, quand tu dis iPhone7,2 ils se sont gourés, en fait c'est la révision matérielle de l'iphone 6, comme pour ton macbook pro qui en réalité est MacBookPro1X,X
@@Geekergamer007 qu'est-ce que tu entends pas révision matérielle stp
CC j'ai plusieurs problème peut tu m'aider a récupérer mon compte de 297.000 abonnées bannis plusieurs fois?? ou peut tu me donner une idée de comment faire stp
Toujours un plaisir tes vidéos ahahah, tu fais ce qu'on rev tous de faire, mais par manque de temps/moyen, on ne fait pas x)
La présentation des écrans est fluide, c'est agréable. Quel challenge, quel audace!👍😱 Merci pour les explications et les exemples , j'ai tellement hâte d'apprendre le chiffrement😍
Vraiment très bon ! Encore encore enccooooorrrreeeee 😁😁😁. Ce que je trouve vraiment bien c'est le cheminement . Impec !
Merci Cocadmin c vraiment intéressant ce genre de vidéo
j'ai jamais été déçu sur l'ensemble de tes videos
Excellent comme d’habitude !
Salut, je suis tombée par hasard sur ta vidéo, elle est top ! Ta voix est ultra-apaisante, tu expliques bien .. vraiment cool à regarder ! :)
Super intéressant. J'avais super envie de voir comment on fait du MITM, et de voir comment on modifie une appli de tél. Franchement, c'est super bien. AVec encore plus de détails, moi ca me dérangerait pas, bien au contraire :)
Lourd, comme d'habitude.
Merci pour tes vidéos, elles sont vraiment bien
Super vidéo, enfin une star sur TikTok !!!
Super vidéo continue comme ça
Comme d'habitude, trop bien !
Trop cool t'es vidéo !
Incroyable encore une fois, cette chaîne est un bijou
Super vidéo, pas facile de rendre ce sujet passionnant.
C'est marrant, j'ai justement sécuriser une appli ios (store-privé) pour les quatre premiers caractères du nom de la chaîne 🥤contre le SSL-unpinning en début d'année.
Je ne suis pas expert en désassemblage mais si t'as besoin d'un coup de main, je peux te dire quoi chercher pour remonter le fil.
Tes le meilleur ! J adore ton contenue
Excellente vidéo ! :)
3:00 lol le man in the middle proxy xD
Cool quand tu fais des videos qui touchent un peu à la sécurité ^^
OMG!!! J'adore Proxyman, je code beaucoup de trucs qui font des requêtes Web. Mais le plus fou, c'est que tu parles de Tiktok, en effet j'ai fait des systèmes semblables pour cette appli, et les communautés dans lesquels je suis aussi! Bref vraiment fou et en rapport total avec ce que j'aime super vidéo
Super contenu comme d'hab
Toujours bien tes video
Super vidéo comme d'habitude 👌
La vidéo a été publier y a 2 min tu force toi aussi mais clairement c'est toujours des masterclass donc je te pardonne🤝
@@mwlulud2995 x)
T'es trop chaud senseï !
Vraiment top !!
De mon côté tiktok précharge la prochaine vidéo et pas uniquement la première frame, ça peut se vérifier en se mettant en mode avion avant de scroll, donc je suppose qu'une grande partie de cette requête mystère est dédiée à ça à moins qu'il y en ai une autre que tu n'ai pas montrée en vidéo
Hhhh rien a dire comme dab c'est perfect vidéo 👌
Bien sur que ton contenu est de qualité... N'en doute pas ! Jsuis comme un shlag en manque de coke. Vivement la prochaine vidéo :P
Ta juste percer sur tiktok !! Je commençais à croire durant la vidéo que t'avais réussi à déchiffrer les logs ?? GG quand même !
incroyable ton travail jsuis bleufé
best youtubeur fr ever
Hello super ta vidéo! T'essayerais bien de faire ce genre de video avec tinder ! Je suis curieux de voir comment l'algorithme fonctionne
Bien joué !
Masterclass
Petit hacker! Une très bon vidéo
En vrai par TikTok web c’est un peu plus simple pour reverse le truc, j’ai pu faire un script pour intercepter les requêtes dans le websocket avant chiffrement pour récupérer les événements d’un live
En tout cas beau boulot !
le rétro-engineering étant illégal, est-ce judicieux d'en mettre la preuve en ligne ? tu cherches à passer sur "vous avez le droit" en guest ?
Je ne pense pas que ca soit illegal mais jveux bien que tu me prouve le contraire :)
Ok ja vais télécharger la vidéo mdr
ah la ref !
@@cocadmin comme le disent les autres commentaires, ca dépend si c'est indiqué dans la licence du produit mais c'est une clause de base... par contre, n'étant pas visé, je n'ai rien à prouver...
Illégale cette pratique ? On croirait hadopi. La france est à côté de la plaque sur la tech, s'agirait de grandir. Les prochaines générations seront de plus en plus au courant de ces pratiques, donc inévitablement le système va devoir s'adapter. Sa vidéo est une bonne chose, je pense que c'est important de comprendre un minimum le fonctionnement de ces apps que tout le monde utilise non stop...
Mdr, le stagiaire 😂
Salut, deja tu auras pu suivre la voie d'Android car plus simple a rooter, ensuite tu peux décompiler l'application tout comme sur iOS et ca t'aurait peut etre permis de trouver d'autres informations.
Apres c'est vrai qu'a partir du code assembleur (ou pseudo assembleur) c'est pas évident.
J'étais abonné à ton compte tiktok mais je croyais pas que c'était toi😂
ce mec est beaucoup trop chaud
Très intéressante, ta manip 🤓
burpsuite aurait fait le taf aussi bien joué !
j'aime cet homme
Hell, juste pour savoir si c'est legal de faire cela pour un app publique comme tiktok... ?
3:54😂😂😂😂✨
J’ai un iPA de Proxyman pour les vielles versions d’iOS. En fait j’ai tout les iPA depuis l’apparition de l’app sur le store si ça t’intéresse
Salut cocadmin, Je pense que même si tu trouve le bout de code qui chiffres les data du body la passphrase de décryptage se trouve coté API. Deja c'est pas mal d'avoir récupérer le header des requêtes .
olala je demande bien les informations que l'on peut retrouver dans ces logs perso j'ai supprimer mon compte mais en tout cas très bonne vidéo !
Très intéressant, gg d'avoir bypass le certificate pinning! Ça aurait été cool d'aller plus loin en effet pour déchiffrer le contenu de la requête, as-tu essayé de mettre un breakpoint sur l'envoi de ta requête puis regarder la callstack? Ou bien un memory breakpoint sur ton payload? Ce ne sont que des idées, il y a beaucoup de manières de faire dépendamment de l'iplem! Encore une fois belle vidéo, pas souvent qu'on voit du reverse engineering! :)
J’ai essayer mais yavais vraiment trop de fonction appeler au moment de l’envoie de la requette il me semble.
Sûrement que y’a d’autres meilleures méthodes pour filtrer :)
@@cocadmin ça va surtout venir à reverse les fonctions qui ont l'air de faire du déchiffrement et seulement breakpoint dessus ouais - sinon si tu veux juste monitor quelles fonctions sont appelées tu peux les hook avec Frida puis log au lieu de breakpoint dessus en gros barbare haha
C’est pas du contenu chiffré c’est du binaire 🤷♂️
@@Antwan86 Le binaire c'est juste une représentation de la data, qui peut être en raw, compressée, ou encore chiffrée comme dans le cas de tiktok ; les cross références aux fonctions de chiffrement sont appelées lors du crafting de la requête, come cocadmin l'a mentionné.
Est-ce que tu pourrais faire une vidéo sur ton setup ou les matériels informatiques que tu utilises ? svp
oui probablement :)
@@cocadmin Yeesssss
Yes !!!!
Bravissimo ☮️🕊️
Mais comment ont poste des images sur les commentaires de Tik tok
hello, tu m'as intrigué avec ton app_log on veut la suite !!!
Très bonne vidéo manque juste une plus grande intro je trouve
C'est quoi la musique utilisé en fond stp ?
Ce que c’est pas qu’est cque c’est !! Sinon bonne vidéo comme d’habitude 👍
Sur android j'ai une application qui envoie aussi beaucoup de données et j'aimerai bien savoir ce qu'elle envoie. D'après le dev c'est juste une vérification mais j'aimerai en être certain. Peut tu faire une vidéo explicative sur comment faire pour avoir accès a toutes les données envoyer et reçu par une application android ? Merci
T'es trop fort 😏
T'es puissant bro ... le FBI va toquer à ta porte encore.
On voit arriver le procès de la part de TikTok xD
Le cryptage de contenu est aussi utilise dans la version web, tu auras plus facile à le cracker la ce n’est pas du code compilé
Coucou ! Pour le iPhone7 qu'ils ont détectés, ils avaient raison, moi aussi ça m'avait un peu titillé mais j'ai toujours vu iPhone7 quand je jailbreakais ou quand je faisais d'autres trucs (sombres). Bizarre mais pourtant vrai, j'espère avoir aidé !
Salut c'est de la base 45 l'encodage pour info cA peut aider
Decompile l'apk, c'est du java donc bytecode et c'est assez facilement lisible. De plus les requête que tu avais toutes les 10s environ semblent être des requêtes de keepalive.
Trop fort ce Cocadmin ! Il a même pas peur du gouvernement chinois !
jsuis foutu
Bonne vidéo, dommage que le reverse soit si tabou sur CZcams, c'est super intéressant comme domaine :)
j’avoue c’est une d
C'est surtout que la plupart du temps c'est illégal 😭
@@gandalflegay7278 Cela dépend du contexte, en l'occurrence c'est aussi une compétence assez rare demandée en cybersécurité avancée (banques, agences spatiales, transports, etc).
Et oui, car avec un couteau à beurre je peux me faire une bonne tartine, mais je peux aussi blesser quelqu'un.
Un outil peut être utilisé pour le meilleur... Comme pour le pire !
@@Monologix oui je suis d'accord avec toi le reverse c'est ultra intéressant et important mais le problème c'est qu'il y'a souvent des problèmes niveau juridique avec ça si je me trompe pas c'est micode qui a fait ou failli faire une grosse bêtise y'a pas longtemps
salut juste pour info le nom de code de l'iphone 6 est bel est bien iphone 7.2
6:19 c'est le nom de modèle technique (iPhone7,2 pour l'iphone 6)
Je cherchais un com qui allais le dire histoire de pas le répéter 😂 oui c'est le version code de l'iPhone 6!
Apparemment j’ai raté un épisode. C’est quoi le lien entre tes trouvailles et le fait que ton compte a décollé. Je n’en vois pas du tout…si quelqu’un a compris et qui veut bien m’expliquer svp
Moi qui va directement désinstaller Tiktok après cette vidéo
Et moi qui me disait pourquoi ma batterie n'arrive pas à tenir ...
Allez , Tik tok à la corbeille !
Yo, ils se sont pas gourrés pour le modèle de l'iPhone, y'a bien un décalage entre le nom commun et le codename chez Apple (ton iPhone 6 est bien un iPhone7,2)
T'es un vrai hackeur toi, ton travail doit être monstrueux😂..
Vidéo bien cool ! Pour mieux localiser où le chiffrement se fait, il faudrait peut être essayer de trouver qui est a l origine de la requête toute les 10sec. Est ce que ça vient du serveur ou c est l appli qui utilise un timer ? Si c est le cas il suffirait de regarder quand est ce que ce timer est appelé. Bref, je suis sur que sa te démange de savoir 😉👍
j'ai juste vu que c'etait toutes les 5sec pile quand t'es déconnecté et un peu moins frequent quand t'es loggé. mais ouai pas facile ˆˆ
On veut connaître le contenu de ce log !
Stp fais la même chose avec Snapchat !
C'est surement une plus petite audience mais j'attends avec hate des infos sur ton setup reverse engineer sur ios, j'avais jeté un coup d'oeil avec ghidra
j'ai utiliser hopper pour cette vidéo mis jsuis encore loin de maitriser :)
Excellent reverse engineering. Je vais me servir de tes idées pour simuler une appli pour un objet connecté chez moi et communiquer avec Home Assistant.
Juste comme sa coca deconne pas pour t'es bypass tu joue avec le gouvrnement chinois et un code non-opensource jte conseille de delete j'avou ! ahahaha
Pourquoi tu utilise pas une machine virtuelle?
Qu'est ce qui pourrait être encryptés ? Imagine TikTok qui fait une capture de la caméra ou envoi un extrait de ce que le micro capte de manière récurrente
franchement j'aime bien le compte de Willa Devereux on a les memes gout 03:01
#Certificat
Bonjour dites-moi s'il vous plaît je cherche un logiciel pirater des mots de passe le Tik Tok qu'est-ce que vous pouvez me conseiller comme logiciel merci
sinon il y aurait pas moyen de détourner la requête pour l’envoyer vers toi au lieu de tiktok
On je peux connaitre les outils que vous avez utiliser pour intercepter les requêtes de ton téléphone a ton ordinateur
mitmproxy pour intercepter les requêtes et frida pour désactiver le SSL Pinning
pourquoi ton pote dev t’as déconseillé charles? il fait la même chose que proxyman au final, mais bonne vidéo :D
jpense que proxyman est un peux mieux pour visualisé les requettes mais au final j'ai utilisé mitmweb
Juste pour information iPhone7,2 c'est bien pour l'iPhone 6 il s'agit du device type chez Apple et non de l'appellation commercial ici. TikTok ne s'est pas gouré
On a le même tel
iPhone 7,2 = iPhone 6. C'est un nom de code chez Apple, chaque modèle de produit est identifié de cette facon
Sacré Thomas ! Toujours pas riche ni célèbre et le pire de tous, pas encore atteint le nombre d’abonnés de K-MARO! Tu es un sysadmin dans l’âme ! Essayer de comprendre des choses sans avoir peur de se heurter à un mur ! Toi qui veut être riche, tu va le devenir de « connaissances ». Continue comme ça.. j’aime
C'est uuuuultra frustrant que tu te sois arrêté en si bon chemin ! Tu avais toutes les billes. Reste plus qu'à trouver l'endroit où l'appel est fait. Tu peux pas faire une recherche via des strings ? Du genre "service" ou "app_log" si jamais ce ne sont pas des URL déjà renvoyées par le serveur...?
Ton idée de chercher "encrypt" est bonne mais je pense que c'est une recherche qui va trouver des fonctions de lib de lib de lib...
Sur ios je trouve ça encore plus compliqué en plus.
Sinon je ne sais pas comment on fait pour créer un interval en objective C, mais peut-être que regarder de ce côté peut t'aider ? Si tu trouves rien avec la fonction d'interval, alors essaie de voir approx combien de temps l'intervalle met et cherche sa valeur en milisecondes, par exemple si c'est 10 secondes fais une recherche avec 10000?
Si tu arrives à faire tous ces tests, MERCI tu auras répondu à MA curiosité.
ah
vous pensez la vidéo va durer cmb de temps 👀
?
Pour combien TikTok va la takedown
😂😂
Tu devrais publier toi même les mini extraits de tes vidéos sur tiktok avant de les sortir sur youtube, et tu regarde si tu arrives à avoir les même performances
Yo thomas
J'ai rien capté en vrai😂😅