iOS逆向(10)-越狱!越狱原理!远程连接登录手机

之前的九篇文章讲述的是在不越狱的情况下,详细的讲解了对APP重签名的原理,如何动态库注入,以及之后的各种调试技巧。这些功能其实已经很强大了,能够帮助咱们在绝大多数情况下去分析并且更改对方的APP了。这对付一些在开发过程中没有安全意识的APP其实已经足以。但是但凡对方有对APP进行防护,那么重签名就显得有些弱鸡了。
比如:
1、登录微信后,第二天会受到他们的警告。
2、重签名优酷后可以看到他们有类似非法APP的Log
...

那么这个时候就需要咱们对APP,甚至的操作系统拥有更大的掌控权,而这一切的基础就是越狱!

hackers总是想象如果自己是开发者会怎么写,然后才能找到入手点。同理,开发者们也要想象自己是hackers会怎么做,才能采取相应的防御措施。然后,就是一场递归的博弈。
拿越狱检测这件事来说,起初大家只需判断有无安装Cydia就好了,hackers们说好,那我就不安装Cydia也可以动手脚。开发者们又说,那你一定得用的上MobileSubstrate,bash,ssh吧,我去检测手机有没有安装这些工具。可是又有什么用呢?你判断什么我绕过去什么。
当class-dump大肆流行,函数符号都被暴露,开发者想尽办法藏起自己的敏感函数代码。hackers们也知道class-dump的死穴在哪里,于是新的检索办法油然而生。也就说,当一个防御手段成为流行,它就不会再是个让hackers大骂“真特么费劲”的防御手段了。比如之前介绍的一个小技巧:内存数据擦除 ,hackers知道开发者都去擦数据了,那我hook memset在你擦之前去读就好了。开发者说:我直接写硬盘上然后删除!hackers说:难道你没听说过文件恢复?

以上来自大佬念茜的自言自语。

所以说,这是一个全新的篇章,从这开始才是真的逆向的起点,让我们一起来享受在iOS世界中安全攻防的其乐穷穷吧。

一、什么是越狱

要了解越狱,就必要要先了解iOS系统的启动过程。
iOS启动引导分为三种模式:

  • 正常引导
  • 恢复引导
  • 固件更新引导

这里我们只对「正常模式」进行介绍,其他两种模式可以自己猜一猜。

1、图解启动链

iOS安全启动链.png

2、详解启动链

Step 1、按下电源

额,这个就不谈了。

Step 2、Boot ROM

所有iOS设备在处理器内都集成有一段名为Boot Room的代码,此代码被烧制到处理器内的一块存储上,并且只读,所以它的完整性的得到保障的。但这也同样会有问题,万一Boot Room本身存在安全漏洞,那么就无法通过更新进行修复。
而Boot Room的功能主要是负责初始化设备,并且引导加载底层引导加载器LLB(Low Level Bootloader)。在这一过程中,Boot Room会使用Apple Root CA Public证书对LLB进行验证,如果验证成功则加载iBoot,不成功则启动失败。
Boot Room在启动的过程中的地位至关重要,由于Boot Room只读特性,保证了iPhone上不能安装Android系统。同理,在除了iPhone其他的设备上没有Boot Room,也就无法安装iOS系统。

Step 3、Low Level Bootloader

LLB(Low Level Bootloader)不同于Boot ROM,它不是被内嵌在设备上的,而是在iOS系统中,同其他文件一样,是一种被加密的IMG3格式文件,会随着iOS系统更新而更新。
LLB负责启动更高层次的Bootloader,同样这一步也需要进行验证。验证不成启动失败,成功则继续。

Step 4、iBoot

iBoot 才是引导过程中的主加载器,它负责加载操作系统内核。同样这一步也需要进行验证。验证不成启动失败,成功则继续。

iBoot在内存中被加载至地址0x5FF00000处。它有一个内建的HFS+驱动,可以直接访问iOS的文件系统,并支持多线程。iBoot通常会派生出两个线程:
一个main线程,负责显示启动时的苹果logo,并根据auto-bootboot-command环境变量的设置(正常引导模式下boot-command被设为fsboot)进行系统引导,引导过程可以根据bootdelay环境变量延迟进行;
一个是uart reader线程,苹果可能将这个线程用于调试,其基本处于闲置状态。正常引导模式中,iBoot调用fsboot()函数挂载iOS系统分区,定位内核,准备设备数并引导系统,如果引导失败,则进入恢复模式引导。

以上三个步骤只要其中任何一个步骤验证失败,则启动失败。

Step 5、launchd && 守护程序和代理程序 && SpringBoard

之前最主要的几部完成之后就剩下启动相关程序了,先启动第一个程序launchd,再由由launchd启动守护程序和代理程序,之后是桌面应用SpringBoard,系统启动完成。

3、越狱是什么?

Windows下最高权限用户是AdminAdmin可以对电脑操作任何事情,哪怕是删掉自己。
Linux下最高权限用户是RootAndroid下早年就有Root的说法,其实就是取得Root权限。
iOS衍生与Unix,其与Linux基本相似,所以咱们这说的越狱其实就是取得Root权限。

结合上文所说的安全启动链的验证过程,越狱要做的事情也就是找到那三个验证的步骤中的漏洞,并且绕过其验证,从而禁止掉信任链中负责验证的组件,最终取得Root权限。

目前情况下越狱分两种:

  • 完美越狱:破解iOS系统漏洞之后,每次系统重启都能自动调用注入的恶意代码,达到破坏安全验证,再次获得ROOT权限。
  • 非完美越狱:越狱系统后,并没有完全破解安全链,有部分信息或功能应用不佳;比如;关机以后必须去连接越狱软件来引导开机;或者重启会导致越狱的失效;这样的越狱称为“不完美越狱”。

目前完美越狱只支持iOS10一下的设备,所以如果大家需要玩,建议入手一台iOS9的iPhone5s(咸鱼300块之内能包邮到家哦),

二、如何越狱

自从盘古联合PP助手发布了国内首批越狱工具后,越狱就变得极其简单。一键操作,无痛无烦恼。
笔者利用「爱思助手」助手越狱。

爱思助手

然后根据自己的手机系统选择对应版本的越狱工具即可。
根据提示有对应的简单操作,然后等待自动重启,重启后能打开Cydia即代表越狱成功。当然也有可能越狱失败,重复以上越狱的步骤就好了。

Cydia

Tips: 笔者在手机机身温度比较高的时候经常越狱失败,所以如果有同样情况的同学,等待机身温度降低之后再次尝试,应该就可以成功了。

三、推荐插件(必装)

首先在Cyida中添加几个常用的源:
1、PP助手:apt.25pp.com
2、雷锋源:apt.abcydia.com
3、Frida:https://build.frida.re

  • Apple File Conduit "2":获取访问手机根目录权限


    Apple File Conduit "2"
  • AppSync Unified 关闭签名:绕过签名检测


    AppSync Unified 关闭签名
  • adv-cmds:命令行


    adv-cmds
  • OpenSSH:SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。

    OpenSSH

  • Frida:之后制作砸壳工具需要用到


    Frida

四、远程连接登录手机

1、Wifi连接

在上一步已经安装完OpenSSH插件之后,Wifi登录就变得很简单。
先确保手机和电脑通处于一个Wifi环境,在手机的网络设置里面找到当前的IP地址,如:172.20.122.108
打开终端

// ssh 用户名@手机IP地址
$ssh root@172.20.122.108

第一次登录会有类似这样的提示:


iPhone公钥保存

直接yes就可以了,他会将对应IP生成秘钥保存在目录/.ssh/known_hosts

known_hosts

如果将其中对应的IP删掉,下次又会有同样的提示了。

然后就需要填入用户密码,root用户的默认密码为:alpine。
如果你对手机安全性有要求,建议改掉此密码,并且牢记。否则就不要改了,要不然忘记了的话就只能刷机了(刷机有风险)。

出现类似如下图就代表等成功


登录成功

2、Wifi取别名

每次都是用ssh root@1172.20.122.108有点麻烦,而且也不利于记忆。所以我们可以给一个对应的IP取一个对应的名字,比如我们给172.20.122.108的root用户取名5s(假设我的越狱手机就是5s),那么我们下次就可以直接使用以下命令来连接:

$ssh 5s

方法:
在上面提到的known_hosts同级目录下新建一个名为config的文件(建议使用Vim命令创建,因为有权限问题)。

config

其中加入如下内容:

Host 5s
    HostName 172.20.122.108       
    User root                      
    Port 22                      

假设有另外一台手机连了另外一个IP,则需要多个Host,依次类推:

Host 5s
    HostName 172.20.122.108       
    User root                      
    Port 22                      

Host 6s  
    Hostname 172.20.122.163 
    User root
    Port  22
别名登录

3、USB连接

上文已经了解到,如何用wifi登录手机,要了解USB连接之前要知道一个前提:
本机的回环地址默认为127.0.0.1。 本机地址也可以用localhost表示。而USB默认的端口号为22
所以在USB端口号开放的前提下,我们只要连接端口22即可。

点击sukimashita官网或者我的Github下载usbmuxd

我们只需要用到其中的python-client文件夹下的tcprelay.pyusbmux.py两个文件。

usbmuxd

终端cd进入该目录,开放22端口并且映射到12345端口上(可以是任意端口,前提是此端口没有被占用),使用如下命令:

python tcprelay.py -t 22:12345  
端口映射

然后新建一个终端窗口
连接此本地IP下的12345端口即可:

ssh root@127.0.0.1 -p 12345

区别于上面的wifi地址,127.0.0.1 又是一个新的ip所有又会出现一次新的公钥保存提示,同样的yes,再输入密码:

USB连接成功

4、USB脚本连接

命令虽然简单,但是每次都要进入tcprelay.py对应的目录会很麻烦,所以还是老规矩,先设置环境变量,再写对应脚本,即可实现在任意目录使用USB连接了。

1、设置环境变量

如果之前有跟笔者之前的文章做过,这一步可跳过。
在用户的根目录下新建文件夹FYSHELL,专门存放所有的自定义脚本文件。FYSHELL也可以随意存放,只是该目录的位置在下面要使用到。
在用户的根目录下找到文件.bash_profile,新增加FYSHELL的环境变量(找不到.bash_profile文件?那就新建一个,推荐使用vim新建,避免权限问题)。
如下图,笔者此时拥有两个环境变量FYSHELLCY

环境变量.png

2、USB端口脚本

先将之前的python-client文件夹拷贝到FYSHELL中。
新建usbConnect.sh文件,输入内容:

python /Users/用户名/FYShell/python-client/tcprelay.py -t 22:12345
usbConnect.sh
3、登录手机脚本

新建loginUsb_5s.sh文件,输入内容:

ssh root@127.0.0.1 -p 12345 
loginUsb_5s.sh

之后直接使用这两个脚本就能完成USB登录手机的任务了!

sh usbConnect.sh
usbConnect.sh
// 新建端口后在执行以下命令
sh loginUsb_5s.sh
loginUsb_5s.sh

五、SSH登录原理

以下内容由于笔者的5s不在身旁,所以换了台iPhone6的手机继续。。。

SSH登录本职上还是调RSA加密的运用:

  • 远程服务器(iPhone)上生成一堆公私钥
  • 将公钥发给客户(Mac)
  • Mac每次登录iPhone的时候使用本地保存的公钥加密密码,发送给iPhone,iPhone使用私钥解密,密码一直则登录成功。

1、公钥保存

在上文中的公钥保存其实就是这里所说的第一步。


iPhone公钥保存

2、验证

使用终端查看验证

  • 查看iPhone本身的公钥
cat ssh_host_rsa_key.pub
iPhone本身的公钥
  • 查看Mac上保存的公钥
cat known_hosts
Mac上保存的公钥

两个地方的公钥是相同的,得以验证。

3、中间人攻击

中间人攻击其实就是在SSH登录的时候,验证失败的结果。
将本地保存的RSA公钥随意改一个字母笔者将最后一个字母f改成了e
再次尝试登录手机,即可出现中间人攻击提示。

窜改公钥

中间人攻击

验证完之后还是将其改回来吧。

六、免密登录

免密码登录也称“公钥登录”,原理就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录 不再要求密码。

1、本地(MAC)生成RSA公私钥

先查看本地(MAC)之前是否已经生成过RSA公私钥,直接进入目录.ssh下查看,如果其中有id_rsaid_rsa.pub即代表已有,无需重新生成。如果强行生成新的,则会导致之前使用这对秘钥的地方失效。

.ssh

如果没有,直接使用如下命令生成新的

ssh-keygen

接着会出现一些问题,全部留空,直接回车即可。之后就可以发现目录.ssh下有了id_rsaid_rsa.pub了。

2、将本地(MAC)的公钥发送给服务器(iPhone)

ssh-copy-id root@localhost -p 12345

期间会需要输入一次iPhone用户的密码(默认alpine)。

ssh-copy-id

接着,再次尝试登录,就会发现不用在输入密码就可以登录了。

免密登录成功

类似上一步的验证SSH原理,查看两个端的用公钥。

手机上的公钥

Mac上的公钥

同样得以验证。

七、总结

如果说越狱是逆向的开始,那么Mac远程登录手机就是逆向的大门,只有进入其中,才能一探究竟。后续的所有操作,比如:砸壳,动态分析,动态调试,动态库注入都离不开这个步骤,所有如果可以,希望大家能够跟着这片文章做一遍。有可能会有坑,但是这样才记忆深刻!

下一篇文章将会讲述,在登录手机后如何对APP进行砸壳。

引用

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容