越狱概述、SSH、Wi-Fi登录、USB登录、拷贝、应用瘦身

一、越狱概述

越狱(jailBreak)：通过iOS系统安全启动链漏洞，从而禁止掉信任链中负责验证的组件。拿到iOS系统最大权限ROOT权限.
iOS系统安全启动链：当启动一台iOS设备时，系统首先会从只读的ROM中读取初始化指令，也就是系统的引导程序(事实上所有的操作系统启动时都要经过这一步，只是过程略有不同)。这个引导ROM包含苹果官方权威认证的公钥，他会验证底层启动加载器(LLB)的签名，一旦通过验证后就启动系统。LLB会做一些基础工作，然后验证第二级引导程序iBoot。iBoot启动后，设备就可以进入恢复模式或启动内核。在iBoot验证完内核签名的合法性之后，整个启动程序开始步入正轨：加载驱动程序、检测设备、启动系统守护进程。这个信任链会确保所有的系统组件都有苹果官方写入、签名、分发，不能来自第三方机构。

越狱的工作原理正是攻击这一信任链。所有的越狱工具的作者都需要找到这一信任链上的漏洞，从而禁止掉信任链中负责验证的组件。拿到iOS系统最大权限ROOT权限.

完美越狱&非完美越狱
- 完美越狱：所谓完美越狱就是破解iOS系统漏洞之后，每次系统重启都能自动调用注入的恶意代码，达到破坏安全验证，再次获得ROOT权限。
- 非完美越狱：所谓非完美越狱是指，越狱系统后，并没有完全破解安全链，有部分信息或功能应用不佳；比如；关机以后必须去连接越狱软件来引导开机；或者重启会导致越狱的失效；这样的越狱称为“不完美越狱”。
添加源：Cydia、软件源、编辑、添加、输入地址、添加源
PP助手：apt.25pp.com 可以用
威锋：apt.Feng.com 有问题了
安装插件：Cydia、搜索、输入需要安装的插件

插件1、`Apple File Conduit "2"` 获取访问根目录权限

iFunBox
没有安装Apple File Conduit "2"之前用iFunBox打开

安装 Apple File Conduit "2"之后用 iFunBox打开

没有安装 Apple File Conduit "2"之前的 Media是安装 Apple File Conduit "2"之后的 Device/User/Media

插件2、`AppSync Unified` 绕过签名检测。如果没有安装这个插件，越狱的.ipa，没法安装到手机上

附加调试：打开任何一个项目

二、连接手机

通过OpenSSH插件可以连接手机，进行远程控制，或者传送文件。

OpenSSH插件

连接手机
- 通过插件使用Wifi连接手机：ssh 用户名@手机IP地址
  $ssh [email protected] 或 ssh -p 22 [email protected](默认端口是22)
  $ssh [email protected]
- 默认密码：alpine
- $exit 退出
- 首次连接会显示

iOS 下两个用户：root、mobile
- root用户：最高权限用户，可以访问任意文件
- mobile用户：普通用户，只能访问改用户目录下文件/var/mobile(Device/var/mobile)
修改账户登录密码
- root用户可以修改所有用户的密码，但是mobile用户不能就修改root用户的密码
- $passwd 命令修改密码
  - $passwd 用户名 eg：$passwd mobile 修改mobile的密码
  - $passwd 修改root的密码
  - 输入两次新密码，确认修改，因为是登录状态所以不用输入原始密码。

三、OpenSSH

OpenSSH 是 SSH （Secure SHell）协议的免费开源实现。 SSH协议可以用来进行远程控制，或在计算机之间传送文件。

SSH是一种网络协议，用于计算机之间的加密登录。
1995年，芬兰学者Tatu Ylonen设计了SSH协议，将登录信息全部加密，成为互联网安全的一个基本解决方案，迅速在全世界获得推广，目前已经成为Linux系统的标准配置。

OpenSSH

它是一款软件，应用非常广泛。

中间人攻击(Man-in-the-middle attack)

存在一种隐患.如果有人冒充服务器.将生成的虚假公钥发给客户端.那么它将获得客户端连接服务器的密码

SSH解决中间人攻击的方案：公钥指纹(公钥的hash值)。客户端第一次链接的时候，服务器返回客户端公钥和公钥的hash值。客户端保存公钥和公钥的hash值。中间人攻击的时候，客户端对比公钥的hash值如果不一致，就知道有中间人攻击了。服务端对比同一个ip的公钥的hash值不一样，就知道有中间人攻击。公钥指纹是根据客户端ip地址来保存的。一般是直接把这个hash值公布在网站上面。

SSH登录过程

1、请求连接到iPhone手机
2、手机将公钥发给Mac电脑
3、Mac电脑通过收到的公钥加密登录密码
4、iPhone手机利用私钥解密登录密码，是否允许登录

SSH其他操作

删掉保存的服务器地址的key

ssh-keygen –R 服务器IP地址(当SSH登录手机，手机就是服务器)，eg:ssh-keygen -R 192.168.254.240

know_hosts文件：用于保存SSH登录服务器所返回的key

在系统~/.ssh目录中保存

ssh_host_rsa_key.pub文件：作为SSH服务器发送给连接者的key

在系统/etc/ssh目录中保存

Config文件

在~/.ssh 目录下创建一个config文件。内部可以配置ssh登录的别名。

Host 别名

HostName IP地址

User 用户名

Port 端口号(端口默认是22)

取别名登录

免密码登录

免密码登录也称“公钥登录”，原理就是用户将自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果成功，就证明用户是可信的，直接允许登录不再要求密码。

客户端在~/.ssh/目录下生成公钥 $ ssh-keygen
如果直接enter/Return键，就默认生成在/Users/dengyazhouPro/.ssh/(~/.ssh/)目录下，名为id_rsa的文件和名为id_rsa.pub的文件。
由于需要把id_rsa.pub文件拷贝到手机上，所以id_rsa.pub文件必须在电脑的~/.ssh/目录下，否则拷贝失败/usr/bin/ssh-copy-id: ERROR: No identities found

如果输入了/Users/dengyazhouPro/Desktop/abc，就生成在/Users/dengyazhouPro/Desktop/目录下，名为abc的文件和abc.pub的文件。

拷贝公钥给SSH服务器 $ssh-copy-id 用户名@服务器IP

保存在了手机上~/.ssh目录下authorized_keys文件中，如果把authorized_keys文件删除了，就又需要输入密码了

公钥和私钥如果输入了密码，免密登录的时候就需要公钥和私钥的密码

注意:如果配置了之后,还需要输入密码. 需要给 authorized_keys 上一个 644或777 权限

四、USB登录

苹果有一个服务，叫usbmuxd，这个服务主要用于在USB协议上实现多路TCP连接.
在Mac电脑的/System/Library/PrivateFrameworks/MobileDevice.framework/Resources目录下 usbmuxd

Python脚本端口映射:

python tcprelay.py -t 22:12345

将设备的TCP端口22映射到本地的12345端口.这样就可以通过本地的12345端口建立连接了。

通过USB进行SSH连接

ssh -p 12345 [email protected] 或 ssh -p 12345 root@localhost

ssh连接本地的12345，由于做了端口映射，所以会通过usb连接对面设备的22端口。

Iproxy端口映射

安装libimobiledevice工具

$ brew install libimobiledevice

映射端口

iproxy 12345 22

五、拷贝

拷贝的时候是否需要先登录呢？不需要登录哦，登录之后也可以拷贝，不存在端口占用的问题

Wi-Fi拷贝
scp 123.text [email protected]:~/

USB拷贝、p是大写
scp -P 12345 ~/Desktop/123.text root@localhost:~/ 拷贝文件，电脑拷贝到手机
scp -P 12345 root@localhost:~/123.text ~/Desktop/ 拷贝文件，手机拷贝到电脑，就换个前后位置，左边拷右边

scp -P 12345 -r 123 [email protected]:~/ 拷贝文件夹，加个-r