抓取IOS的apsd进程流量

IOS的apsd是Apple Push Service的相关进程，很多系统服务都跟他有关，比如iMessage、Homekit，因此想抓包查看他是怎么实现的。

1.搜索发现相关资料很少，只有多年前的一个相关演讲：https://blog.quarkslab.com/resources/2013-10-17_imessage-privacy/slides/iMessage_privacy.pdf

 

2.首先使用uncover越狱，尝试使用ssl-kill-switch2,发现并不成功，原因不明，发了issue不只一个人有这个问题。

 

3. 接下来尝试使用Frida来Hook SecTrustEvaluate()，参考博客https://kov4l3nko.github.io/blog/2018-05-27-sll-pinning-hook-sectrustevaluate/

发现是可行的，中间人能抓到客户端发出的第一个数据包，但是不明原因服务器并不会回复客户端请求。猜测是不是服务器验证了客户端的证书（从苹果官方资料中猜测是，但是我抓包没有看到标准的TLS握手中请求客户端证书），因此尝试使用keychain dumper获取客户端apsd使用的证书，并把证书设置给中间人。

 

4. 使用keychain的时候有坑，首先不支持IOS12，通过Issue 36修改entitlements.xml解决，特别注意需要下载源码按照说明重新build二进制才能使用，不然出现KILL 9错误。 参考pushProxy的教程，使用cydia安装openssl后使用KeychainDumper_signed -k （记得加-k参数）可获得私钥。换成-i参数获得证书。

悲剧的是，在mitmproxy里设置了客户端证书也不行，服务器还是不回复消息（毕竟没开中间人也没看到服务器要客户端证书啊），不知道发生了什么。剩下的只能靠自己或者研究一下多年前的pushProxy了。

 

5. 由于Hook SSL证书这条路出现了不明原因的bug，所以决定Hook SSL的收发函数。

首先调查苹果ssl的实现机制，可能是用的这个链接的coreTLS实现：https://opensource.apple.com/tarballs/

这里面源码就用了Hook发现确实在用的SecTrustEvaluate()；收发函数观察发现是SSLWrite和SSLRead，注意大小写一定不能错！用frida-trace发现其实SSL_write()也有，但不知为何没有hook到调用。

最终问题解决可以看到收发的数据了，使用的代码如下：

import frida
import sys


def on_message(message, data):
    try:
        if message:
            print("[*] Received data: {0}".format(message["payload"]))
    except Exception as e:
        print(message)
        print(e)


def run_frida_script():
    with open("hook_sslReadWrite.js", "r") as f:
        frida_script_code = f.read()
        return frida_script_code

if __name__ == '__main__':

    #For USB connection
    session = frida.get_usb_device().attach("apsd")
    script = session.create_script(run_frida_script())
    script.on('message', on_message)
    script.load()
    sys.stdin.read()

function main() {
        
    // Get SecTrustEvaluate address
    var SSLWrite_prt = Module.findExportByName("Security", "SSLWrite");
    var SSLRead_prt = Module.findExportByName("Security", "SSLRead");
    
    if (SSLWrite_prt == null || SSLRead_prt == NULL) {
        console.log("[Error] Security!SSLWrite/Read(...) not found!");
        return;
    }
    
    //OSStatus SSLWrite(SSLContextRef context, const void *data, size_t dataLength, size_t *processed);
    Interceptor.attach(SSLWrite_prt,
    {
        onEnter: function (args)
        {
            console.log("SSLWrite(" + "" + ")");
            this.data = args[1];
            this.processed = args[3];
            //send("onEnter SSLWrite");
            //var length = args[2].toInt32(); 
            //console.log(int64(args[2]).toInt32());
            //send(Memory.readByteArray(args[1], parseInt(args[2])));
            //console.log(Memory.readByteArray(args[1], length));

            //console.log("SSLWrite() called from:\n" +     Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join("\n"));
 
        },
        onLeave: function (retval)
        {
            //send("onLeave");
            var status = retval.toInt32();
            if (status === 0 && !this.processed.isNull()) {
              var data = Memory.readByteArray(this.data, Memory.readPointer(this.processed).toInt32());
              console.log(data);
            }
        }
    });
    
    //OSStatus SSLRead(SSLContextRef context, void *data, size_t dataLength, size_t *processed);
    Interceptor.attach(SSLRead_prt,
    {
        onEnter: function (args) {
            console.log("SSLRead(" + "" + ")");
            this.data = args[1];
            this.processed = args[3];
        },

        onLeave: function (retval) {
            var status = retval.toInt32();
            if (status === 0) {
              var data = Memory.readByteArray(this.data, Memory.readPointer(this.processed).toInt32());
              console.log(data);
            }
        }
    });
}

// Run the script
main();

 

 

后记：发现苹果没有一个公开的说明push service的文档，看到流量获得的信息也有限，最后只要再查资料+逆向了……