首页 > 其他分享 >ipad mini2 绕过激活锁

ipad mini2 绕过激活锁

时间:2024-10-09 23:11:44浏览次数:7  
标签:ipad iPad iOS 越狱 漏洞 checkra1n iPhone mini2 绕过

本人博客原文链接:https://drcodes.cn/2024/09/25/ipad-mini2-bypass-icloud-activation-lock/

前言

这几天刷微博刷到一条被锁10年的iPhone终于解锁的视频,被称之为「时间胶囊」,我评论了之前解锁iPad2的经过,不刷机,找回忘记密码的老iPad中的数据!-爱写代码的小医生 (drcodes.cn),想不到很多人点赞评论。于是翻了翻仓库,发现有一台iPad mini2,但是已经不能进入系统了,提示需要激活,记不清当时是用哪个id登陆的了,

查阅了一番资料后,发现可以绕过激活锁。大致原理如下:

其实在2年前checkra1n刚火起来的时候,我也帮同事绕过了一台iPad mini2,当时是借助@appletech752的sliver工具做的,当时没有记录过程,但是这次我不想安装他的工具,自己通过命令行解锁也挺有意思的,这里简单记录解锁经过,所需要的工具和软件有:

  • 装了OS X系统的苹果电脑,或者黑苹果也可以(本人为Sonoma 14.5)
  • 数据线
  • 最新版本的checkra1n
  • libusbmuxd中的iproxy
  • 已经激活好的激活文件mobileactivationd

一、使用checkra1n越狱,打开iPad的ssh 44端口

说到Checkra1n,首先要提到的是Checkm8漏洞,Checkra1n就是基于Checkm8漏洞开发的。Checkm8是安全研究人员@axi0mX在2019年9月27日发现的苹果手机“史诗级漏洞”:链接:axi0mX/ipwndfu: open-source jailbreaking tool for many iOS devices (github.com),之所以说这个漏洞是史诗级的,因为上次发现类似漏洞已经是差不多10年前在iPhone4上发现的那个漏洞。这个漏洞位于苹果手机的Bootrom代码中,是硬件设计的漏洞。Bootrom是固化在 iPhone 只读区域中的一段代码,该区域中的代码是启动链及启动信任链的起点,主要负责加载后续的启动链,该区域中的代码无法通过系统更新来更新。iOS 设备在启动载入初始代码时,Bootrom是无法写入只能读取的,有了“checkm8”这个漏洞后,可以绕过iPhone的信任机制,加载定制的启动代码。Bootrom的漏洞由于是存在于硬件只读固件内,除非用户更换手机的硬件,否则随便Apple怎么对系统进行升级都无法修补该漏洞,因此所有影响的设备将一直可以被利用,无视上面运行的iOS版本。Checkm8的漏洞受影响的设备包括iPhone4S、iPhone5、iPhone5C、 iPhone 5S、 iPhone 6、 iPhone SE、 iPhone 6S、 iPhone 7和7 Plus、 iPhone 8、8 Plus 和 iPhone X,以及大多数基于类似 SoC 的 iPad以及Apple TV HD (ATV4)和Apple TV 4K,和Apple Watch的系列1、2和3等。在受影响的设备上,该漏洞可以被用来进行越狱操作。Checkra1n就是基于Checkm8开发的越狱工具, 不过该越狱工具目前未对iPhone4S、iPhone5、iPhone5C进行适配。不同于传统的越狱工具,Checkra1n对手机的越狱不是永久的(即Checkra1n是非完美越狱),也就是说越狱完成后,一旦设备进行了重启,系统就恢复到原来的iOS,这时候就需要重新运行Checkra1n来对设备进行越狱操作。

202409251337829.png

checkra1n的官网如下:https://checkra.in/ 针对iPad mini2,其只支持iOS12以上的系统,不支持iOS9,所以要先升级系统到最新。在官网下载最新版本的checkra1n后,把checkra1n.app放到某个目录下,在终端进入该目录,输入如下指令:

./checkra1n.app/Contents/MacOS/checkra1n -c

这行指令会打开checkra1n的cli模式,成功运行后会提示:

 \- [*****]: Waiting for DFU devices

即等待DFU设备,手动将iPad mini2 进入DFU模式,方法如下:长按顶部电源键和home键10秒,后松开顶部电源键,继续长按home键,直到终端提示Exploiting

终端会自动运行越狱,且iPad 屏幕中间有checkra1n标志,左上角有跑代码,如果提示All Done,则提示越狱成功。

二、使用libusbmuxd中的iproxy映射iPad的ssh端口到本地电脑

iproxy是usbmuxd附带的一个小工具,它的作用是将设备的某个端口映射到电脑的某个端口 mac下可以通过brew安装

brew install libusbmuxd

用法很简单:

  1. 第一个参数是你要映射到的电脑端口
  2. 第二个是iPhone的端口
  3. UDID一般不用填,会自动获取,不过多设备连接时,需要用于区分设备

iproxy的作用很丰富,终端键入如下命令:

iproxy 2222 44
  • 2222 是本地电脑端口
  • 44 是iPad的ssh端口 (checkra1n打开了iPad ssh端口,并且默认为44)

三、使用ssh连接iPad,修改激活文件。

新建一个终端窗口,输入:

ssh root@localhost -P 5222
密码为alpine

这样就以root身份通过ssh连接上iPad了,因为是最高权限,所以可以随心所欲做任何事情

在iPad上,保持在选择Wi-Fi界面,但是不要连接!

在ssh终端窗口逐行输入如下命令

mount -o rw,union,update /
launchctl unload /System/Library/LaunchDaemons/com.apple.mobileactivationd.plist
rm /usr/libexec/mobileactivationd
uicache --all

其中第三行rm /usr/libexec/mobileactivationd的意思是:删除当前iPad激活文件。

下载激活后的激活文件mobileactivationd,这是别人在其他已经激活好的机器上提取出来的激活文件,详见:E4s0N/iOS-Hacktivation-Toolkit: iOS Hacktivation Toolkit (github.com)

再新建一个终端窗口,使用scp命令将激活后的mobileactivationd 文件传输到iPad的/usr/libexec/目录上:

scp -O -P 5222 ./mobileactivationd root@localhost:/usr/libexec/

密码同样为 alpine

在连接iPad的ssh终端窗口输入:

chmod 755 /usr/libexec/mobileactivationd
launchctl load /System/Library/LaunchDaemons/com.apple.mobileactivationd.plist

最后,在iPad上选择连接iTunes,就可以绕过iCloud激活锁,进入系统了。

202409251329054.png

参考链接:

  1. https://github.com/wrcsubers/iOS_ActivationBypass?tab=readme-ov-file
  2. exploit-development/iOS-Hacktivation-Toolkit: iOS Hacktivation Toolkit (github.com)
  3. checkra1n
  4. axi0mX/ipwndfu: open-source jailbreaking tool for many iOS devices (github.com)

标签:ipad,iPad,iOS,越狱,漏洞,checkra1n,iPhone,mini2,绕过
From: https://www.cnblogs.com/drcode/p/18455375/ipad-mini2-bypass-icloud-activation-lock

相关文章

  • 不刷机,找回忘记密码的老iPad中的数据!
    最近,同事拿来一个iPad,说是自己从箱底翻出来的,已经好多年没有开机过了,现在没电了无法开机,也忘记了开机密码,里面有一些和家人的老照片,想让我帮忙试试能不能不恢复出厂设置的前提下解锁,我在确认是他本人的iPad后,同意帮他试试,以下为此次解锁记录。本次记录仅作为个人研究学习,资料和方......
  • 验证码绕过爆破
    验证码绕过爆破图片验证码绕过方法一、插件xiapao下载地址:https://github.com/smxiazi/NEW_xp_CAPTCHA/releases/tag/4.2需要python3.6的环境来启动sercer.py服务,下载python3.6安装包,选择路径进行安装(不需要配置环境变量),然后再pycharm中打开文件,配置虚拟环境,虚拟环境......
  • 【网络安全】绕过 Etplorer 管理面板实现RCE
    未经许可,不得转载。文章目录正文使用ffuf进行FUZZ查找漏洞漏洞复现目标网站:https://app.redacted.com正文使用ffuf进行FUZZffuf-uhttps://app.redacted.com/FUZZ-wwordlist.txt-c-r-c:表示彩色输出,方便用户在终端中查看结果。-r:忽略响......
  • ChatGPT 订阅价或涨到 44 美元;研究称 AI 可 100% 绕过 reCAPTCHA V2 验证丨RTE 开发者
       开发者朋友们大家好: 这里是「RTE开发者日报」,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享RTE(Real-TimeEngagement)领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「有看点的会议」,但内容仅代表编辑的个人观......
  • 如何在没有密码的情况下解锁 iPad
    用iCloud或者“查找我的”解锁iPad使用你的AppleID登录iCloud。点击“查找我的”。选择你需要解锁的设备并抹掉此设备。用忘记密码选项解锁iPad如果你打开了“查找我的”功能,并且你的版本高于iPadOS15.2,可以使用忘记密码选项来解锁iPad。在设备的锁定屏幕上,尝试输入......
  • 基于CTFshow的文件上传二次渲染绕过与CTF实战
    1.二次渲染简介二次渲染指的是上传的文件(如图片),为了显示的更加规范(尺寸、像素),网站会对文件进行二次处理,经过解码或转换可能导致其中的恶意代码失效。例如,后门程序在图像渲染过程中可能被清除或无法执行。2.二次渲染存在性判断2.1文件大小变化访问上传的文件地址,重新下载下......
  • sql注入常见绕过方法
    sql注入可以说是非常成熟的攻击手段了对其的防御体系也很完善据owasp统计存在注入类漏洞的网站不超过10%首先我们了解下sql注入的类型:分为直接有回显的:联合注入:通过联合查询语句进行信息的查询需要页面回显数据报错注入:需要页面存在查询语句报错回显堆叠注入:需......
  • ssrf检测防御与绕过
    服务器端请求伪造(SsRF,Server-SideRequestForgery)是一种安全漏动,它允许公鸡者通过受信任的服务器发起恶意网络请求,从而获取内部网络资源、公鸡内部服务或执行非预期操作。SsRF检测、防御与绕过涉及到以下几个方面:概述服务器端请求伪造(Server-SideRequestForgery,简称SSRF)是一种......
  • PHP反序列化2(OC绕过.wakeup绕过)
    考点2:OC绕过、wakeup绕过<aside>......
  • 绕过反爬虫机制:数据采集的全面解决方案
    在采集数据时遇到反爬虫程序是一个常见的问题,网站为了保护其数据的安全和防止资源被滥用,会采取一系列反爬虫措施。以下是一些常见的反爬虫程序问题及应对策略:常见问题IP封锁:网站通过检测同一IP地址的频繁请求来判断是否有爬虫行为,并对频繁访问的IP进行封锁。请求频率限制......