《挑战不用macOS逆向iOS APP》之两百元成本的iOS逆向环境搭建

查看 105|回复 9
作者:roysue   
Intro
很多人在学习逆向iOS app的时候,都有两个痛点:
[ol]
  • iOS设备太贵
  • 需要macOS环境
    [/ol]
    前者需要小几千的iPhone,后者需要至少大几千的Macbook 。本系列文章就是为了解决这两个痛点,全部操作在一百多块钱的iPhone6上完成,且电脑端在r0env/Win上进行演示,让我们康康,这几乎无成本的一套环境,究竟可以让我们走多远,走多深!
    本篇文章是《挑战不用macOS逆向iOS APP》系列的第一课环境搭建主要为了实现在iOS APP逆向过程中一些环境方面的常规需求,具体实现目标如下:
  • windows中iPhone基本信息获取/软件安装/投屏
  • 越狱设备分析推荐/工具推荐/unC0ver流程详解
  • 越狱后手机常用工具:日志/网络/包管理/免签名
  • Frida/Objection/任意版本安装切换/动态分析
  • ios砸壳/IPA静态分析基本流程/IDAF5函数定位
  • linux中iphone手机信息获取:ID/名称/详情/签名/截屏/定位
  • 安装APP/IPA:安装/卸载/升级/备份/回复APP
  • 收发传输文件:usbmuxd OpenSSH=adb pull/push
  • 远程文件管理:磁盘映射/电脑上浏览手机文件夹
  • 升降级和激活:恢复模式/固件升降级/手机激活

    1.Windows中iPhone基本信息获取/软件安装/投屏
    (1)基本信息获取
    Windows中操作iPhone官方推荐方式是使用iTunes,但是后续我们会安装未经签名的应用,因此这里我们推荐使用爱思助手进行操作。直接去官网下载安装爱思助手,打开并在手机上信任此电脑


    202304041.png (402.62 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传



    202304042.png (251.59 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传

    (2)软件安装
    软件安装:点开爱思助手的应用游戏可以直接安装,爱思上安装的软件有APP Store上架的也有未上架但有企业账号签名的,具体内容涉及IPA签名,会在后续文章解释。


    202304043.png (795.96 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传

    (3)手机投屏
    直接使用爱思助手中的投屏,可以使用有线投屏,同一局域网下也可以使用无线投屏


    202304044.png (537.86 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传

    手机端上滑点击屏幕镜像点击爱思投屏即可。
    2.越狱设备分析推荐/unC0ver流程详解
    (1)越狱设备的分析与推荐
    查看爱思助手的越狱方式可以看到
    可以支持ios版本最高的是unc0ver方式可以支持到iOS14.8,而又由于iPhone越狱失败后重启设备失败的话需要恢复出厂设置,此时会自动更新到当前设备支持的最新iOS版本,而iPhone6最高版本是12.5.4,iPhone6s和iPhone7最新版本均是iOS 15,因此我们选择使用iPhone6作为越狱设备,这样即使越狱失败最新版本也依然在越工具支持版本之下。
    越狱方式对比,这里主要分析两种方式unc0ver和Checkra1n
    checkra1n:比较复杂还要制作u盘但是胜在稳定
    unc0ver:过程简单但是成功比较看运气,需尝试多次才能成功
    (2)checkra1n越狱详细流程
    (1)制作一个越狱u盘


    202304045.png (287.8 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传



    202304046.jpg (61.99 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传



    202304047.jpg (48.29 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传

    (2)刷入手机实现越狱
    进入电脑BIOS选择VendorCo ProductCode 从u盘启动


    202304048.jpg (329.05 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传

    选择ALT+F2进入Checkra1n刷机系统


    202304049.jpg (160.19 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传

    上下左右空格键控制start开始越狱


    2023040410.jpg (174.6 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:39 上传

    next


    2023040411.jpg (128.71 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传



    2023040412.jpg (130.1 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

    进入刷机界面后根据提示操作


    2023040413.jpg (157.16 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

    1.点击start
    2.同时摁住侧边键和home键
    3.摁住home键
    这个界面就是在刷入,ALL Done就是刷入成功了。


    2023040414.jpg (126.37 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

    补充:中间可能会失败,没关系多来几次总能成功的,但是一定注意,手机不要买到带锁机,二手iphone卖家有时会隐藏ID锁,这种机子可以登录自己ID但是一旦越狱失败就寄了。。。
    3.越狱后手机常用工具:日志/网络/包管理/免签名
    手机越狱成功后,会在桌面显示checkra1n图标,点击安装cydia,cydia是一个需要越狱后使用的三方软件仓库。这里我们主要安装以下几个工具:
    (1)cydia自带源工具安装
    cydia自带源的工具可以直接搜索安装


    2023040415.png (434.91 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

  • oslog 日志查看工具,默认安装在/usr/bin目录下
  • OPENSSH                                           远程连接软件,作用是远程连接手机,默认账号密码为root/alpine
  • Filza File Manager                 是手机端的文件管理软件,作用是让我们更方便的操作手机上的文件。
  • Apple File Conduit "2" IOS上的一个插件工具,作用是帮助我们在电脑端操作手机上的文件

    (2)三方源工具安装
  • AppSync Unifield         

    AppSync Unifield是IOS上的插件工具,作用是帮助我们安装未经苹果签名的IPA,安装后可以安装未经苹果签名的软件,安装具体流程如下:
    首先添加源:编辑->添加->输入cydia.angelxwind.net


    20230404162.png (716.4 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

    然后进行插件安装:karen->插件->AppSync->安装->确认->重启


    2023040417.png (588.3 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传


  • frida-server
    卸载历史版本
    dpkg -l | grep frida 匹配已经安装的frida
    dpkg -P re.frida.server卸载软件
    下载最新frida-server进行安装


    2023040418.png (52.31 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传


    dpkg -i frida_16.0.10_iphoneos-arm.deb
    4.Frida/Objection/任意版本安装切换/动态分析
    这里使用r0env,自带pyenv支持多版本Frida/objection切换,这里安装最新版本作为演示
    (1)安装最新frida
    pyenv install 3.9.5
    pyenv global 3.9.5
    pip install frida==16.0.5
    这里安装的时候不挂代{过}{滤}理会很慢,挂代{过}{滤}理后遇到了一个错误


    2023040419.jpg (28.79 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

    错误原因是没有socks相关库
    unset ALL_PROXY
    pip install pysocks
    再挂代{过}{滤}理安装
    export ALL_PROXY="socks://代{过}{滤}理IP:port"
    pip install frida
    pip install frida-tools
    安装成功


    2023040420.png (22.81 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

    (2)安装objection
    pip install objection
    objection -g 高考蜂背 explore


    2023040421.png (118.35 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传

    5.ios砸壳/IPA静态分析基本流程/IDAF5函数定位
    (1)ios砸壳
    ios砸壳工具也有很多,这里我们推荐使用frida-ios-dump,下边是安装使用详细过程:
    git clone https://github.com/AloneMonkey/frida-ios-dump
    cd frida-ios-dump/
    apt-get install usbmuxd
    pip install -r requirements.txt --upgrade
    iproxy 2222 22
    ./dump.py 高考蜂背
    (2)IPA静态分析基本流程及IDAF5函数定位
    因为本篇文章主题是环境搭建,因此这里仅演示简单流程
    file 高考蜂背.ipa
    unzip 高考蜂背.ipa
    cd Payload/
    cd Gkfb.app/
    file * | grep -i mach
    ida64 ./Gkfb
    经过frida-ios-dump砸壳后我们拿到了IPA包对其进行解压,并检索内部mach-o可执行文件,随后用ida分析文件。


    2023040422.png (99.87 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:41 上传



    20230404checkfile.png (31.26 KB, 下载次数: 0)
    下载附件
    2023-4-4 19:00 上传

    分析过程检索发现MD5格式函数,使用F5即可看到其伪代码


    20230404idacheck.png (326.08 KB, 下载次数: 0)
    下载附件
    2023-4-4 19:01 上传



    20230404code.png (198.13 KB, 下载次数: 0)
    下载附件
    2023-4-4 19:01 上传

    6.linux中iphone手机信息获取:ID/名称/详情/签名/截屏/定位
    在linux中操作iPhone主要使用libimobiledevice库及依赖于它的一些开源工具,这里先下载安装该库
    apt-get update
    add-apt-repository ppa:pmcenery/ppa
    apt-get install libimobiledevice-utils
    下面是该库的一些简单使用:
    (1)获取设备ID
    idevice_id  获取当前连接设备UUID


    20230404UUID.png (53.86 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    (2)获取设备名称
    idevicename   查看当前连接设备名称


    20230404name.png (45.47 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    (3)获取屏幕截图
    idevicescreenshot :从连接的设备获取屏幕截图


    20230404screenshot.png (104.09 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    (4)设置虚拟定位
    idevicesetlocation [OPTIONS] --  根据经纬度模拟定位
    idevicesetlocation -- 35.10463 117.193626   山东枣庄


    20230404position.png (347.66 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    (5)获取设备详情
    ideviceinfo :查看手机设备详情列出全部相关信息


    20230404detail.png (104.81 KB, 下载次数: 0)
    下载附件
    2023-4-4 19:02 上传

    7.安装APP/IPA:安装/卸载/升级/备份/恢复APP
    linux上对iPhone中软件操作这里是使用的依赖于libimobiledevice库的工具ideviceinstaller,在安装完libimobiledevice库后我们可以直接使用apt安装该工具
    apt-get install ideviceinstaller
    (1)安装软件
    ideviceinstaller  -i xxx.ipa 安装软件


    20230404install.png (193.31 KB, 下载次数: 0)
    下载附件
    2023-4-4 19:02 上传

    (2)卸载软件
    ideviceinstaller -U [bundleID]卸载应用


    20230404unload.png (67.5 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    (3)查看已安装应用
    ideviceinstaller -l 查看安装软件


    20230404view.png (135.67 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    (4)其他
    ideviceinstaller -g [bundle_id] [path] 根据压缩包升级app
    ideviceinstaller -o export -i [bundle_id] -o [PATH] 根据路径备份app
    ideviceinstaller -r 从备份中恢复app
    8.收发传输文件:usbmuxd OpenSSH=adb pull/push
    usbmuxd是一个苹果提供的通信服务,用于建立通信通道,libimobiledevice库就是基于这个服务实现了许多功能,依赖该库的工具ifuse实现的文件系统挂载自然也是基于此服务,我们可以通过挂载文件系统实现手机端与电脑端的文件传输,从而实现android中adb push/pull的同样效果,我们也还可以通过OpenSSH服务实现文件传输,以下是二者具体实现:
    (1)基于usbmuxd实现adb pull/push
    ifuse是依赖libimobiledevice库将iOS设备挂载到本地系统的开源工具,安装完库后直接使用apt安装
    apt install ifuse
    ifuse --root [挂载点]:越狱后将整个iphone文件系统挂载过来


    20230404mount1.png (134.17 KB, 下载次数: 0)
    下载附件
    2023-4-4 19:02 上传

    将文件系统挂载过来后我们就可以进行自由的文件传输
    (2)基于OpenSSH实现adb pull/push
    OpenSSH在手机中已经安装过,安装后自动开启ssh服务,我们就可以使用linux的scp命令进行文件传输
    从本地push到手机
    scp -P 22 1.txt [email protected]:/  这里写-P是为了使用一些非标准端口时指定端口


    20230404push.png (160.06 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    从手机pull到本地
    scp -P 22 [email protected]:/2.txt ./


    20230404pull.png (75.83 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    9.远程文件管理:磁盘映射/电脑上浏览手机文件夹
    ifuse是依赖libimobiledevice库将iOS设备挂载到本地系统的开源工具,安装完库后直接使用apt安装
    apt install ifuse
    (1)挂载文件系统
    ifuse --root [挂载点]:越狱后将整个iphone文件系统挂载过来


    20230404mount2.png (134.17 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    (2)取消挂载
    fusermount -u [挂载点]:卸载挂载点


    20230404Unmount.png (135.46 KB, 下载次数: 0)
    下载附件
    2023-4-4 18:43 上传

    )
    10.升降级和激活:恢复模式/固件升降级/手机激活
    (1)进入恢复模式
    ideviceenterrecovery  让设备启动到恢复模式,iOS设备的恢复模式允许用户刷写、升级或还原设备的固件。
    (2)固件升降级
    idevicerestore [OPTIONS] PATH 将PATH路径上的固件包安装到ios设备
                -u 指定设备ID
                -l 使用最新可用固件
    (3)手机激活
    ideviceactivation activate
    其中,activation_record_path是包含激活记录的文件路径。这个文件可以从其它iPhone上备份,或者从开发人员手中获得。运行后,libimobiledevice将会将激活记录写入到手机中,从而完成激活过程。激活成功后,你的iPhone将可以正常使用。
    《挑战不用macOS逆向iOS APP》系列的第一课环境搭建内容到这里就结束了,两百元成本的iOS APP逆向的基本环境已经搭建成功,后续会继续更新iOS App逆向的内容.

    下载次数, 下载附件

  • lichao890427   

    这些基础的配置是不能省的,否则也无法做深入。省钱并不会产生太多意义,肯投入才能有更大产出。
    懂行的话,某鱼上低端iPhone几十到几百可以拿下,某宝2k也可以入手入门款mac。
    越狱开发建议还是在Mac上做,可以少走很多弯路
    yyb1813   

    写的很详细,但一般苹果手机我不做任何操作,只用小米root,成本低一点
    lyghost   

    肉丝大佬?
    小丶白丶丶   

    肉丝大佬?
    good7801   

    大神,支持一下,需要这个
    zerofire   

    感谢兄弟分享~~手里的iPhone6正不知道怎么办呢,有用武之地了。
    tencentma   

    200块就能搞逆向,我是没想到,确实实用
    ainihd   

    大神,支持一下,需要这个
    aonima   

    没有研究过ios  希望以后能用上
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部