非越狱iPhone ipa注入测试

近期看到mac注入的一些文章,所以对逆向也有兴趣,尝试把别人的demo download下来试了一下,觉得有点意思.不过在mac app的注入过程中发现,处于沙盒运行环境的app注入不成功,说明沙盒不仅限制了app的行为,从侧面还保护了app的入侵.

沙盒不好破解,后来就转向了iOS方面,在网上看了一些文章之后决定先从重签开始.

重签

重签就是把ipa重新用新的证书和mobileprovision对app进行重新签名. 

从developer.apple.com中心需要重签的mobileprovision下载下来,保证你的mobileprovision的证书在本机是正常的.然后从网上下载一些重的工具,或者直接去github上clone代码自己编译运行.重签的工具很多最频繁的就是iReSign(github:https://github.com/maciekish/iReSign).

重签的工具运行起来之后界面一般如下:


这里面除了entitlements.plist 其他的大家应该都很熟悉,这个文件可以直接通过mobileprovision文件来生成,你cd到mobileprovision的目录下,然后执行/usr/libexec/PlistBuddy -x -c "print :Entitlements " /dev/stdin <<< $(security cms -D -i 123.mobileprovision) > entitlements.plist

123.mobileprosion是你的文件名称,执行之后会自动在目录生成entitlements.plist文件.然后点击重新签名,会自动在目录中生成重新签名的文件,然后通过xcode,或者ifunbox第三方工具都可以进行安装,如果提示环境的安装错误,说明你重签的mobileprovision文件和下面选择的证书不匹配.

注意问题:

1.重签之前需要检查ipa里面有没有PlusIns的目录,里面的插件也是独立的组件,如果重签也需要对他们进行重签,iReSign没有对PlusIns进行处理,如果需要重签插件的同学可以自己修改iReSign的源代码对插件进行重签,插件也是独立的主题也需要新的mobileprovision,所以要注意,如果想省事就直接删除这个目录,因为插件是独立的,删除后不受影响.

2.如果是重签字通用类型的mobileprovision,比如你想签别人家的app,比如QQ,淘宝,这些有名的app,这个大公司的app都有签名验证,比如QQ登录的时候会验证签名,如果签名不对就不提供服务,淘宝启动的时候就检查签名,如果签名不对直接退出app,这种app你不想改别人的bundle id 就可以用通用类型的mobileprovision文件,就是制造的带*的文件,我每次重签这些app的时候都会把entitlements.plist里面的bundle id 改一改.这样就可以了.记住,重签这些app之后如果需要安装 需要先把本地的正版app删除掉,在安装否则安装的过程中也会失败.

注入

重签是目的是啥,不会只是想看看手机多装几个QQ,多装几个微信,作为技术人员重签肯定是想干点坏事,当然不是伤天害理的坏事,只是对app做点坏事,比如插一脚,把自己的代码注入进去.下面介绍下注入动态库.

如果你的app用了动态库,编译之后你会发现你的.app里面有一个Frameworks的目录,里面就是放动态库的,之前天真的以为把自己写的动态库放在这个目录,运行的时候就可以自动加载了,后来发现这根本没啥用,后来查阅资料之后发现其实动态库的加载全部都在执行文件里面存储在.

用工具MachOView(github:https://github.com/gdbinit/MachOView),打开一个执行文件

点击Load Commands展开,这里面就是记录app启动之后的加载的一些命令


LC_LOAD_DYLIB:加载动态库.LC_LOAD_WEAK_DYLIB这个可能是可选的加载,比如系统不支持的可以不加载,在xcode添加framework之后如果修改后面的选项为optional可能打包之后就是WEAK类型

随便点击一个动态库,右边会显示响应的加载信息,比如选择一个UIKit


右边最下面就是加载的路径,一般系统级别的动态库都是在System/Library/Frameworks或usr.lib下,如果是自定义的看你的目录编译的时候是怎么处理的.在app里面@executable_path是当前执行文件所在的目录,如果你的动态库是放在Frameworks下你写入你的动态库信息的时候路径写成@executable_path/Frameworks如果你自己定义的目录 比如CustomFrameworks你就写信息的时候把路径写成@executable_path/CustomFrameworks,这样app启动之后才能找到加载的动态库,注意,如果你的动态库是framework而非dylib那你的路径还得深一层,指向xx.framework 里面的xx文件,那才是动态库的文件.

好知道结构了,我们开始插入自己的动态库.需要用到的工具yololib(github:https://github.com/KJCracks/yololib)

编译之后,cd到yololib目录,把从.app里面拖出来的执行文件放在这个目录,在这个目录也建一个Frameworks的目录(当然你自定义也行),把你的动态库放进去,执行命令./yololib FileName Frameworks/Dylib.framework/Dylib .注意FileName是你的执行文件的名字, DyLib是你的动态库的名称,如果你的动态库是Dylib.dylib就Frameworks/Dylib.dylib然后回车.写入成功之后可以用MachOView检查一下是否写成功,然后检查一下路径,把执行文件和Frameworks的目录一起拷到.app目录,然后在外层Payload的文件夹打包成zip,修改扩展名,参考重签的过程,这样你的动态库就可以注入成功了.

后记

动态库可以写功能强大一点,比如建立一个连接到你的mac上,比如可以参考JSPatch传递js代码过去之后在app里面执行.注入也成功了然后可以学习逆向,比如IDA分析代码,如果不想那么麻烦可以用class-dump直接把执行文件的所有头文件都倒出来,然后参考运行的过程中的一些类的变化,窥探别人app的结构.当然剩下的事得你们自己去干了.

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,684评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,143评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,214评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,788评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,796评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,665评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,027评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,679评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,346评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,664评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,766评论 1 331
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,412评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,015评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,974评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,073评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,501评论 2 343

推荐阅读更多精彩内容