ios逆向-frida&环境&破解appSign算法

设备

iPhone 5s ios12
黑苹果

越狱

越狱借助unc0ver，不详细说了。

环境准备

安装openSSH

越狱iPhone 使用Cydia 搜索 openSSH，安装即可。

• WiFi 无线连接
• 手机和Mac电脑在同一网络下。
  建立连接，这里我的iPhone的ip是： 192.168.0.106
  ssh root@192.168.0.106

  USB连接

  比WIFI响应速度快，网络环境无限制
  usbmuxd是网上开源社区，貌似是国外牛人倾力打造的一个专门针对该功能开源库
  通过brew来安装
  brew install usbmuxd
  usbmuxd 自带工具iproxy，iproxy 可以快捷的操作连接iPhone等操作。由于Mac上只支持4位的端口号，所以需要把iPhone的默认端口22映射到Mac上，相当于建立一个Mac和iPhone之间的通道。
  iproxy 2222 22
  以上命令就是把当前连接设备的22端口(SSH端口)映射到电脑的1215端口，那么想和设备22端口通信，直接和本地的1215端口通信就可以了。
  终端提示 waiting for connection ，表示这两个端口之间已经可以通信了，保留当前终端(如果关闭就停止端口之间的通信了)，新建另一个终端输入，默认密码：alpine
  ssh -p 2222 root@127.0.0.1
  
  

  配置frida

  1. 启动 Cydia
  2. 添加软件源 软件源 Sources-> 编辑 Edit（左上角）-> 添加 Add（右上角）-> 输入 https://build.frida.re/
  3. 通过刚才添加的软件源安装 frida 插件。根据手机进行安装：iPhone 5 及之前的机器为 32 位，5s 及之后的机器为 64 位，进入 变更->找到Frida->进入Frida 在右上角点击安装，安装完成后如下图
     
     
     电脑端使用pip install frida-tools

     砸壳

     使用frida-ios-dump砸壳

     加速clone

     git clone https://hub.fastgit.org/AloneMonkey/frida-ios-dump.git
     cd frida-ios-dump 
     sudo pip3 install -r requirements.txt --ignore-installed six

• 查看app 名称及bundleID
  python3 dump.py -l
  
• 砸壳
  砸壳可使用名称, 若名称不可以就使用bundleID即可
  python3 dump.py com.hupu.** -P***
  我这里用了类似安卓app的包名，Identifier来砸壳。
  如果更改了 openSSH的密码，一定要加-p新密码，另外dump.py默认的iproxy转发端口是2222。
  
  砸壳完成。
  当前目录下可以看到我们需要的砸壳后的识货.ipa。
  

  反编译

  将ipa解压之后，右键 显示原身，找到如下图这个二进制可执行文件。
  
  拖到ida打开
  
  

  错误锦集

  1. unable to launch iOS app: The operation couldn’t be completed. Application "" is unknown to FrontBoard.
     打开app，允许权限
     2.如果frida无法连接手机，提示“Failed to enumerate applications: unable to connect to remote frida-server: Unable to connect (connection refused)”，则需要检查手机frida的版本，区分32bit 和64bit版本。iphone5是32位，iphone 5s以上是64位。
     3.如果报错：frida.InvalidOperationError: script is destroyed，则需要先退出app，再手动打开app等初始化完成，再次执行dump脚本，这样frida attach之后就不会出现这个问题。
     4.如果报错：frida.ProtocolError: unable to communicate with remote frida-server; please ensure that major versions match and that the remote Frida has the feature you are trying to use，说明pc端版本和手机端frida版本不匹配，可以把手机端升级到最新，pc端使用pip3 install -U frida进行升级
     本文章仅用于学习交流，请勿用于非法或商业用途。

     app算法破解

     抓包配置

     打开mac的Charles帮助->ssl代理->在移动端或者浏览器上安装证书
     `iPhone的设置 -> 无线局域网 -> 局域网信息(i) -> 配置代理 -> 手动中配置代理，服务器输入框中填写mac的IP地址，端口输入框中填写Charles的代理端口（一般是8888）``
     
     iphone浏览器打开chls.pro/ssl,然后安装证书。
     基于iOS的证书信任机制，在安装完成并信任证书后，需要到iPhone设置 -> 关于本机 -> 证书信任设置中启用根证书
     还需要到iPhone设置 -> 关于本机 -> 描述文件->charles proxy搞一下。
     记得开启ssl代理，添加*:443。
     

frida破解sign算法

使用fridatrace真的很方便。
打开案例app，使用frida进行trace。

frida-trace -U -i CCCrypt pid #aes加解密相关
frida-trace -U -i CC_MD5 pid #md5加密

可以看到类似一个base64的字符串和一个url排序后的结果。
先把明文进行md5。

对比之后，这个算法就破解了
接下来看aes这个算法破解。

看到base64，由于这个app安卓版已经破解过了，所以知道该app的ios版本应该也是aes算法，所以就。。。还知道aes加密之后再去md5就是newSign。
通过trace拿到解密key之后，直接解密。

然后md5一下看看

好了，破完收工。

发电

自己搞了一个知识星球，主要是用来分享在工作的的一些实际经验，更偏向与实践和干货和某些知识理论相比更实际一点，现在加入还有50元优惠。


本文章仅用于学习交流，请勿用于非法或商业用途。