ios 逆向 随笔

使用爱思助手打开ssh通道登入
ssh -p 2222 root@localhost alpine
注：如无法连接，可直接删除.ssh目录 user/用户/.ssh （rm -rf .ssh）
使用frida-ios-dump-master目录中的dump.py脚本+需要dump的程序名称，砸壳提取ipa文件
修改后缀名为zip即可解压

=========================================================================================================
Xcode中debugserver的位置：/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/对应系统版本
iPhone中debugserver的位置：/Developer/usr/bin
通过Xcode或直接创建一个en.plist文件：
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.springboard.debugapplications</key>
<true/>
<key>run-unsigned-code</key>
<true/>
<key>get-task-allow</key>
<true/>
<key>task_for_pid-allow</key>
<true/>
</dict>
</plist>

签名：codesign -s - --entitlements en.plist -f debugserver
导入：scp -r -P2222 debugserver root@localhost:/usr/bin/
ssh连入手机位置，给予debugserver权限：chmod +x /usr/bin/debugserver
=========================================================================================================

frida-ps -Ua 当前打开的app报名
firda-trace -U -i open -p pid hook open
firda-trace -U -i CC_MD5 -p pid hook md5
firda-trace -U -i CCCrypt -p pid hook ios 加密库

frida-trace -U -f/p xxxx -m "*[Global *]" hook函数名

fsmon-ios 手机中的监控工具

动态调试
先打开ssh连接 alpine
ps -A 查看需要启动程序path
在开启debugserver *:端口 需要启动的程序path
映射手机端口到电脑端口 iproxy 电脑 手机
lldb 进入，连接手机调试 process connect connect://ip:端口

lldb使用
image list （查看当前加载的模块）模块名查看特定模块
breakpoint set -a 模块基址+模块偏移
reg r 查看寄存器信息
mem read 地址 查看内存地址

iOS钥匙串提取
pip3 install objection
objection -d --gadget "appName" explore
ios keychain dump/dump_raw

注：退出需要使用ctrl+c关闭，ctrl+z会有进程残留

监控文件行为工具 fsmon-ios

// 查看连接的越狱iOS手机打开进程
frida-ps -U

// hook手机进程6663的CCCrypt函数，去掉-U则hook电脑App
frida-trace -U -i CCCrypt 6663

// hook OC函数
frida-trace -U -m "+[BeaconEncryptUtil enCryptDES:key:iv:]" 6533

// hook C/C++函数
frida-trace -i "*SSL_write*" xxxAPP

// 执行login.js脚本hook xxxAPP，并启动xxxAPP
frida --no-pause -f xxxAPP /Contents/MacOS/xxxA -l js/login.js

ios runwda --bundleid=com.meiya11.WebDriverAgentRunner.xctrunner --testrunnerbundleid=com.meiya11.WebDriverAgentRunner.xctrunner --xctestconfig=WebDriverAgentRunner.xctest