非越狱iPhone ipa注入测试

近期看到mac注入的一些文章,所以对逆向也有兴趣,尝试把别人的demo download下来试了一下,觉得有点意思.不过在mac app的注入过程中发现,处于沙盒运行环境的app注入不成功,说明沙盒不仅限制了app的行为,从侧面还保护了app的入侵.

沙盒不好破解,后来就转向了iOS方面,在网上看了一些文章之后决定先从重签开始.

重签

重签就是把ipa重新用新的证书和mobileprovision对app进行重新签名. 

从developer.apple.com中心需要重签的mobileprovision下载下来,保证你的mobileprovision的证书在本机是正常的.然后从网上下载一些重的工具,或者直接去github上clone代码自己编译运行.重签的工具很多最频繁的就是iReSign(github:https://github.com/maciekish/iReSign).

重签的工具运行起来之后界面一般如下:

这里面除了entitlements.plist 其他的大家应该都很熟悉,这个文件可以直接通过mobileprovision文件来生成,你cd到mobileprovision的目录下,然后执行/usr/libexec/PlistBuddy -x -c "print :Entitlements " /dev/stdin <<< $(security cms -D -i 123.mobileprovision) > entitlements.plist

123.mobileprosion是你的文件名称,执行之后会自动在目录生成entitlements.plist文件.然后点击重新签名,会自动在目录中生成重新签名的文件,然后通过xcode,或者ifunbox第三方工具都可以进行安装,如果提示环境的安装错误,说明你重签的mobileprovision文件和下面选择的证书不匹配.

注意问题:

1.重签之前需要检查ipa里面有没有PlusIns的目录,里面的插件也是独立的组件,如果重签也需要对他们进行重签,iReSign没有对PlusIns进行处理,如果需要重签插件的同学可以自己修改iReSign的源代码对插件进行重签,插件也是独立的主题也需要新的mobileprovision,所以要注意,如果想省事就直接删除这个目录,因为插件是独立的,删除后不受影响.

2.如果是重签字通用类型的mobileprovision,比如你想签别人家的app,比如QQ,淘宝,这些有名的app,这个大公司的app都有签名验证,比如QQ登录的时候会验证签名,如果签名不对就不提供服务,淘宝启动的时候就检查签名,如果签名不对直接退出app,这种app你不想改别人的bundle id 就可以用通用类型的mobileprovision文件,就是制造的带*的文件,我每次重签这些app的时候都会把entitlements.plist里面的bundle id 改一改.这样就可以了.记住,重签这些app之后如果需要安装 需要先把本地的正版app删除掉,在安装否则安装的过程中也会失败.

注入

重签是目的是啥,不会只是想看看手机多装几个QQ,多装几个微信,作为技术人员重签肯定是想干点坏事,当然不是伤天害理的坏事,只是对app做点坏事,比如插一脚,把自己的代码注入进去.下面介绍下注入动态库.

如果你的app用了动态库,编译之后你会发现你的.app里面有一个Frameworks的目录,里面就是放动态库的,之前天真的以为把自己写的动态库放在这个目录,运行的时候就可以自动加载了,后来发现这根本没啥用,后来查阅资料之后发现其实动态库的加载全部都在执行文件里面存储在.

用工具MachOView(github:https://github.com/gdbinit/MachOView),打开一个执行文件

点击Load Commands展开,这里面就是记录app启动之后的加载的一些命令

LC_LOAD_DYLIB:加载动态库.LC_LOAD_WEAK_DYLIB这个可能是可选的加载,比如系统不支持的可以不加载,在xcode添加framework之后如果修改后面的选项为optional可能打包之后就是WEAK类型

随便点击一个动态库,右边会显示响应的加载信息,比如选择一个UIKit

右边最下面就是加载的路径,一般系统级别的动态库都是在System/Library/Frameworks或usr.lib下,如果是自定义的看你的目录编译的时候是怎么处理的.在app里面@executable_path是当前执行文件所在的目录,如果你的动态库是放在Frameworks下你写入你的动态库信息的时候路径写成@executable_path/Frameworks如果你自己定义的目录 比如CustomFrameworks你就写信息的时候把路径写成@executable_path/CustomFrameworks,这样app启动之后才能找到加载的动态库,注意,如果你的动态库是framework而非dylib那你的路径还得深一层,指向xx.framework 里面的xx文件,那才是动态库的文件.

好知道结构了,我们开始插入自己的动态库.需要用到的工具yololib(github:https://github.com/KJCracks/yololib)

编译之后,cd到yololib目录,把从.app里面拖出来的执行文件放在这个目录,在这个目录也建一个Frameworks的目录(当然你自定义也行),把你的动态库放进去,执行命令./yololib FileName Frameworks/Dylib.framework/Dylib .注意FileName是你的执行文件的名字, DyLib是你的动态库的名称,如果你的动态库是Dylib.dylib就Frameworks/Dylib.dylib然后回车.写入成功之后可以用MachOView检查一下是否写成功,然后检查一下路径,把执行文件和Frameworks的目录一起拷到.app目录,然后在外层Payload的文件夹打包成zip,修改扩展名,参考重签的过程,这样你的动态库就可以注入成功了.

后记

动态库可以写功能强大一点,比如建立一个连接到你的mac上,比如可以参考JSPatch传递js代码过去之后在app里面执行.注入也成功了然后可以学习逆向,比如IDA分析代码,如果不想那么麻烦可以用class-dump直接把执行文件的所有头文件都倒出来,然后参考运行的过程中的一些类的变化,窥探别人app的结构.当然剩下的事得你们自己去干了.