首页 > 其他分享 >ios逆向爬虫-入门保姆级-实战某博APP

ios逆向爬虫-入门保姆级-实战某博APP

时间:2022-09-22 14:23:31浏览次数:102  
标签:log dump 某博 APP args ios var frida

ios逆向爬虫-入门保姆级-实战某博APP

设备

  • iPhone11,系统14.2
  • Windows11

工具

  • Frida15.2.2
  • frida-ios-dump
  • Ida7.7

流程

  1. 手机越狱
  2. 爱思助手安装目标APP
  3. Cydia安装Frida
  4. frida-ios-dump进行脱壳
  5. app分析
  6. ida+frida动静态分析

手机越狱

采用爱思助手一键越狱

爱思助手安装目标APP

Cydia安装Frida

  1. Cydia添加frida源
    avatar

  2. 在cydia添加frida源后,搜索frida,根据iOS设备版本安装对应的frida服务端,如下所示
    avatar

  3. frida一些简单的使用

    • frida-ls-devices 查看电脑链接设备信息
    • frida-ps -U 查看通过USB连接设备上运行的程序
    • frida-ps -Ua 查看正在运行的程序
    • frida-ps -Uai 查看iOS设备中已经安装的应用程序
    • frida-ps -D <UDID> 通过iOS设备的UDID查看iOS设备中应用程序中的pid、进程名
    • frida-trace -U -f 包名 -i 'CC_MD5' 用于跟踪ios方法的调用

frida-ios-dump进行脱壳

ios脱壳的方式有很多种:

  1. frida-iod-dump
  2. dumpdecrypted
  3. flexdecrypt
  4. Clutch
  5. AppCrackr
  6. Crackulous

个人觉得frida-ios-dump比较方便,快速。接下来讲解frida-ios-dump的使用步骤:

  1. 拉取代码,地址: frida-ios-dump
  2. 安装依赖: pip install -r requirements.txt
  3. 手机端口转发 iproxy 2222 22; iproxy 本地端口 远程目标端口
  4. ./dump.py 目标app名称, 会将ipa包拉取在本地当前目录
  5. 将ipa文件中的主包文件拖进ida分析(app比较大,ida会分析好久好久好久);如图所示:
    avatar

app分析

抓包分析

avatar
我们的目标是得到s值得算法,从s这个值得名称来看,大概是一个签名,那么根据以往的经验签名函数大概是一个hash操作。

过程:

  1. 合并请求数据
  2. 加上盐值
  3. hash计算得到签名

frida-trace 跟踪hash函数

  1. 打开目标app
  2. 输入命令: frida-trace -UF -i "CC_MD5" 跟踪ios的md5函数
  3. 在当前目录下会生成 __headlers/xxx/CC_MD5.js 文件
  4. 修改对应js更好的显示输出结果
    {
    
        onEnter(log, args, state)
        {
            log('CC_MD5():', args[0].readUtf8String());
        }
    ,
        onLeave(log, retval, state)
        {
            log('CC_MD5()--return--=');
            var md5_digest = hexdump(retval, {length: 16});
            var hexified = " ";
            var raw_array = md5_digest.split("\n");
            for (var a = 0; a < raw_array.length; a++) {
                var line_array = raw_array[a].split(" ");
                for (var b = 1; b < line_array.length - 1; b++) {
                    if (line_array[b].length === 2) {
                        hexified += line_array[b];
                        hexified = hexified.trim();
                    }
                }
            }
            log(hexified + "\n");
        }
    }
    
    
    
  5. trace结果如下:
    avatar

执行上述流程,并没有hook到关键数据,同理尝试 CC_SHA1, CC_SHA256, CC_SHA512, CCHmac。均没有结果

接着使用FridaDev中的ios-trace.js 脚本进行跟踪。该脚本比较强大,可以模糊跟踪ios中的函数,入参,出参都有比较美观的输出。

现在我们根据经验进行一些跟踪,脑海里面想到一些关键词 sign,crypt, Signature等等。使用该脚本得到结果如下:
avatar
找到关键信息数据, 得到s的返回值。

找到目标函数,现在需要耐心等待ida分析完成,我们要去看看c的伪代码了。

ida+frida动静态分析

ida一些基本操作

  1. x快捷键获取函数,变量的调用处
  2. shift + F12 获取字符串窗口
    ...

ida静态分析

  1. ida静态分析目标函数
    avatar
    sub_107717A5C 函数是sha256算法,为什么我们之前trace sha256函数的时候没有得到结果,因为这部分算法是C写的导致hook不到。

怎么分析出是sha256算法的?

  1. 经验
  2. 推荐一个hash计算的网站 hash计算, 把加密前内容拿去计算,对比计算出来的结果,推断是什么算法

frida hook obj-c的两种方法

  1. oc方法
//                      类名                方法
var hook = ObjC.classes.NSMutableURLRequest["- setHTTPBodyStream:"];
Interceptor.attach(hook.implementation, {
    onEnter: function(args) {
    // 转换 objc 对象
    var receiver = new ObjC.Object(args[0]);
    // 将选择器转换sel为 JavaScript 字符串
    var sel = ObjC.selectorAsString(args[1]);
    var data = ObjC.Object(args[2]);
    var string = ObjC.classes.NSString.alloc();
    send(" HTTP Request via [ "+receiver+" " +sel+" ] => DATA: " + string.initWithData_encoding_(data,4));
    }
});
  1. sub方法
    像上图这种无符号函数,我们需要根据地址来进行hook
if (ObjC.available) {

    const baseOffset = 0x100000000;
    const base = Module.findBaseAddress('主包名称');
    console.log('Base:', base);
    const idaBase = base.add(-baseOffset);
    console.log('Real Base:', idaBase);
    const sub = base.add(0x107720938 - baseOffset);

    Interceptor.attach(sub, {
        onEnter: function (args) {
            console.log('进入:' + sub.toString() +':', args[0], args[1], args[3])
            print_dump(args[0], 100)
            // console.log('args[0]=', args[0].readCString())
            print_dump(args[1], 100)
            // console.log(args[3].readInt())
            // print_dump(args[2], 100)
        },
        onLeave: function (retval) {
            console.log('retval=', retval)
            print_dump(retval, 200)
        }
    })

} else {
    console.log('非ios环境')
}

常用的一些模板

该脚本来自慕白

  1. 打印堆栈,堆栈地址相对ida无偏移
function logBacktrace(context, methodName = "", threadId = "") {
    log((methodName.length > 0 ? methodName + " " : "") + "Backtrace:");
    var backtraces = Thread.backtrace(context, Backtracer.ACCURATE);
    for (var backtrace of backtraces) {
        var symbol = DebugSymbol.fromAddress(backtrace);
        var memAddr = symbol.address;
        var subAddr = memAddr.add(baseOffset - base);
        log("\t" + threadId + " " + subAddr + " " + symbol.moduleName + "!" + symbol.name + " " + symbol.fileName + " " + (symbol.lineNumber > 0 ? symbol.lineNumber : ""));
    }
}

function logInterceptor(interceptor, methodName = "") {
    var info = "[t" + interceptor.threadId + "] " + (methodName.length > 0 ? methodName : "");
    logBacktrace(interceptor.context, info, interceptor.threadId);
}

// 使用方法
var A = eval('ObjC.classes.A["- A:"]');
Interceptor.attach(A.implementation, {
    onEnter: function (args) {
        logInterceptor(this, "A:");
    }, onLeave: function (ret) {
    }
});
  1. json2str
function jsonTostr(ocobj) {
    var NSString = ObjC.classes.NSString
    var str = NSString.alloc().initWithData_encoding_(ocobj, 4)
    return str
}
  1. 数组转16进制字符串
function print_dump(addr, size, methodName = "") {
    if (addr == null || addr == 0 || size == 0) {
        return;
    }
    var buf = Memory.readByteArray(addr, size)
    log((methodName.length > 0 ? methodName + " " : "") + "[dump]: " + addr.toString() + " " + "length: " + size.toString() + "\n[data]")
    log(hexdump(buf, {offset: 0, length: size, header: true, ansi: false}));
    log("\n")
}
  1. 打印对象
function print_obj(obj) {
    var description = "";
    for (var i in obj) {
        description += i + " = " + obj[i] + "\n";
    }
    log(`info:\n${description}`);
}
  1. 打印原生bytes
function print_raw_bytes(addr, size) {
    log("Reading from address: " + addr);
    var byteArray = addr.readByteArray(size);
    var int8Array = new Uint8Array(byteArray);
    var str = "";
    for (var i = 0; i < int8Array.length; i++) {
        var value = int8Array[i];
        str += (value > 16 ? value.toString(16) : ("0" + value.toString(16)));
        str += " ";
    }
    return str;
}

联系我

相关逆向需求可以找我 v: King_WW__

标签:log,dump,某博,APP,args,ios,var,frida
From: https://www.cnblogs.com/xiaoweigege/p/16719093.html

相关文章

  • apple 与pixfmt 对应关系
    staticconststruct{uint32_tcv_fmt;boolfull_range;enumAVPixelFormatpix_fmt;}cv_pix_fmts[]={{kCVPixelFormatType_420YpCbCr8Planar,......
  • 使用 PNPM 将 React App 中的磁盘空间减少 60%
    使用PNPM将ReactApp中的磁盘空间减少60%在React应用程序中使用PNPM减少磁盘空间的教程。Photoby诺德伍德主题on不飞溅您是否正在处理具有共同依赖项的......
  • axios实现实时获取文件上传/下载进度
    <template><div><button@click="downLoad">下载</button><p>下载进度:{{downLoadProgress}}</p></div></template><script......
  • AppStore审核被拒:other-other,过审核、不过审的经历
     最新版Other问题,请查看我最近的一片文章我主要开发小型应用,周期较短,提审较频,使用帐号也多,正常申请的三方购买的都有使用。提审时经常会遇到这样那样的问题,单独说ot......
  • iOS16系统 设置navigationbar上面的title有可能无效的bug处理
    在某些业务情况下,有可能需要对viewcontroller的title进行动态设置如果正常情况下,在vcviewdidload的方法中设置title,是没有问题的.如这样:  但一旦在vc已初始化......
  • Oracle 23c? What happened 20c&22c
    AsyouknowOraclehasbeenchanedreleasename.InthispostwetalkaboutOracleRealeases.BeforewestartletuseseecurrentOracleDatabaseRealeasesand......
  • uni-app 获取图片验证码
      <image:src="imgVerificationCode"@click="getVerificationCode"class="imageCode"></image>arrayBufferToBase64(buffer){ varbinary=''; ......
  • Uni-app Vue 中CSS问题整理合集
    一、父组件设置子组件的样式:一般情况下子组件内部负责各自样式。不过在很多场合里,我们也会要求父组件来修改子组件默认样式。父组件可以通过传入class样式修改有限的样式......
  • Uni-app页面生命周期
    uni-app 支持如下页面生命周期函数:文档:https://uniapp.dcloud.net.cn/tutorial/page.html#lifecycle函数名说明平台差异说明最低版本onInit监听页面初始化,其参数......
  • Uni-app应用生命周期
    uni-app 支持如下应用生命周期函数:函数名说明onLaunch当uni-app 初始化完成时触发(全局只触发一次)onShow当 uni-app 启动,或从后台进入前台显示onHide当......