利用Cycript调试App
一、Cycript是什么?
-
-
Cycript是一种脚本语言,是Objective-C、JavaScript、Java等语法的混合物,这就意味着我们可以在一条命令中使用这些语言的语法,甚至可以混合使用。(作者是Jay Freeman,没错,就是Cydia的作者,Jay Freeman出品必属精品,放心使用吧)
-
-
-
Cycript可以用来调试、探索、修改正在运行的Mac/iOS App,只需要通过Cydia就可以安装Cycript了,然后就可以尽情的在iPhone上调试运行中的App了。
-
二、Cycript的用法
-
- 使用Cycript的前提是:Mac通过SSH远程登录到了iPhone,并且iPhone安装了
Cycript脚本 (iPhone越狱后通过Cydia搜索安装)
- 使用Cycript的前提是:Mac通过SSH远程登录到了iPhone,并且iPhone安装了
-
-
想要调试某个App就需要知道此App的进程名称,在手机上打开想要调试的App,使用
ps -A命令,列出来所有进程后,找到想要调试的APP的进程名即可。(例如:我们要调试皮皮虾App,在手机上打开皮皮虾,输入ps -A命令,找到皮皮虾的进程名称是Super,如下图所示)利用ps -A命令,列出来当前手机所有进程
-
-
- 选择某个进程进行挂载,挂载某个进程:
cycript -p 进程名称或者进程ID
- 特别 特别 特别 要注意,这种挂载进程的方法只适用于iOS12之前的系统,iOS12及其以后的系统,要用另一种方法挂载,详情请看下面的第五章
- 选择某个进程进行挂载,挂载某个进程:
例如:想挂载皮皮虾App,先让皮皮虾App在手机里跑起来,找到进程名后,输入以下命令
cycript -p Super
-
-
利用以上三步就可以挂载某个进程了,挂载之后,出现
cy#,如下图所示,就意味着进入了Cycript脚本环境了,就可以输入Cycript语法来调试这个进程了
-
-
- cycript环境下的快捷键:
- 退出:Ctrl + D
- 清屏:Command + R
- 取消输入:Ctrl + C
-
- 总结一下,其实非常简单
1>.使用前提:MacSSH登录了iPhone,iPhone安装了Cycript
2>.ps -A , 找出所有进程
3>.cycript -p Super,挂载皮皮虾,出现cy#,说明进入到了Cycript环境
三、Cycript的常用语法
-
-
UIApp,就相当于OC中的[UIApplication sharedApplication]
-
-
-
定义变量:
var 变量名 = 变量值
-
-
-
用变量地址获取对象:
#内存地址,例如:#0x109703340,就拿到了这个地址的对象
-
-
-
查看对象的所有成员变量:
*对象,例如:*UIApp,就是拿到了UIApplication对象的所有变量
-
-
- 查看已经加载的所有OC类,
ObjectiveC.classes
- 查看已经加载的所有OC类,
-
- 递归打印所有View的子控件,
view.recursiveDescription().toString()
- 递归打印所有View的子控件,
-
-
筛选出某种类型的对象:
choose(类型名称),例如choose(UIButton),找出所有UIButton类型的对象
-
-
- Cycript官方手册请点击这里
四、封装并导入Cycript库
-
- 大家是不是觉得上面的语法比较繁琐,用起来很不方便,我们可以把常用的语法封装进一个
.cy文件中,以后直接用就可以了
- 大家是不是觉得上面的语法比较繁琐,用起来很不方便,我们可以把常用的语法封装进一个
-
- 例如把下面的代码,放到common.cy文件中 (大家仿照下面的代码写就可以了,exports参数是固定的,不需要改)
(function(exports){
// app id
AppId = [NSBundle mainBundle].bundleIdentifier;
// mainBundlePath
BundlePath = [NSBundle mainBundle].bundlePath;
// keyWindow
KeyWin = function() {
return UIApp.keyWindow;
};
// rootView
RootVc = function() {
return UIApp.keyWindow.rootViewController;
};
})(exports);
-
- 然后把封装好的
.cy文件放到手机的/usr/lib/cycript0.9目录下
- 然后把封装好的
-
- 以后进入
cycript环境后,首先导入封装好的cy文件,就可以使用封装好的方法了,命令是:@import xxx.cy
- 以后进入
-
-
MJ大佬封装好了一个.cy文件mjcript,大家可以去下载,放到手机的
/usr/lib/cycript0.9目录下,以后再进入cycript环境后,只需要@import mjcript,就可以使用里面的方法了。如下图所示:
-
五、在iOS12及以后的系统,挂载进程的方法
-
- 在iOS12以后,使用
cycript -p 进程名的方法挂载进程,就会报下面的错误:
- 在iOS12以后,使用
assert($mach_task_self != NULL)
*** _assert(status == 0):../Inject.cpp(143):InjectLibrary
-
- iOS12以后要使用cyrun挂载进程,进入cycript环境后,所有操作还跟以前一样
-
-
cyrun安装方法:
- (1). 通过Cydia安装
New Curses、readline、adv-cmds、wget(wget主要为了在iPhone上可以下载deb文件) - (2). 以root账户登录到iPhone上,输入以下命令,下载以下
deb文件
wget http://apt.saurik.com/debs/cycript_0.9.594_iphoneos-arm.deb wget http://www.tateu.net/repo/files/net.tateu.cycriptlistenertweak_1.0.0_iphoneos-arm.deb wget http://www.tateu.net/repo/files/net.tateu.cyrun_1.0.5_iphoneos-arm.deb- (3). 输入以下命令,安装下载好的deb
dpkg -i cycript_0.9.594_iphoneos-arm.deb dpkg -i net.tateu.cycriptlistenertweak_1.0.0_iphoneos-arm.deb net.tateu.cyrun_1.0.5_iphoneos-arm.deb -
-
- 安装成功之后,以后想进入
cycript环境,直接输入cyrun -n 进程名 -e -d -f或者cyrun -b bundleID -e命令就可以了,此命令会重启相应的进程,然后自动进入cycript环境
- 安装成功之后,以后想进入
-
- 想退出的时候,按
Control+D就可以退出cycript环境时,退出后会自动杀掉该进程
- 想退出的时候,按
-
-
以皮皮虾APP为例,使用
cyrun命令进入cycript环境,导入写好的mjcript库,查看皮皮虾APP的当前控制器和根控制器,如下图所示:
-
六、知识点总结
1>.使用Cycript调试APP的前提:用Mac以SSH的方式登录了iPhone,iPhone安装了Cycript
2>.ps -A , 找出所有进程,找到要调试的APP
3>.以皮皮虾APP为例,挂载皮皮虾APP的进程:
- iOS12系统以前的挂载 :cycript -p Super
- iOS12系统以后的挂载 :cyrun -n Super -e -d -f 或者 cyrun -b bundleID -e
4>. 挂载后,会进入cycript环境,导入封装好的库,使用其中的方法进行调试: @import mjcript
5>. 找到皮皮虾APP的当前控制器: MJFrontVc()
6>. 退出cycript环境:Control + D
七、修改皮皮虾APP界面
-
- 利用上述所学,来实际改一下皮皮虾APP的界面,将登录界面中的"登录",改成"逆向调试"
-
- 流程如下:
- 首先,SSH到iPhone:
sh login.sh - 然后,挂载皮皮虾APP:
cyrun -n Super -e -d -f - 然后,导入mjcipt库:
@import mjcript - 然后,用手机打开皮皮虾的登录界面
- 然后,查看登录界面的控制器:
MJFrontVc() - 然后,查看登录界面的View的层级结构:
MJVcSubviews(#0x107b0f400) - 然后,输入"登录",查看”登录“的unicode编码
- 然后,搜索”登录“的unicode编码,找到登录所属的
UILabel对象 - 然后,修改此UILabel的text属性:
#0x117917e10.text = '逆向调试' - 然后, 修改此UILabel的size属性:
#0x117917e10.size = MJSizeMake(200,30) - 最后,Control+D退出cycript环境
-
- 所有代码如下:
songpengdeMBP:~ songpeng$ sh login.sh
iPhone7ceshiji:~ root# cyrun -n Super -e -d -f
applicationName: Super is not running (-1)
executableName: Super
bundleIdentifier: com.bd.iphone.super
Cycript is inactive:
Device is not passcode locked
Tweak Mode
Waiting for Cycript to become active...
Successfully enabled, you may now run
cycript -r 127.0.0.1:8556
cy# @import mjcript
{}
cy# MJFrontVc()
#""
cy# MJVcSubviews(#0x107b0f400)
`; layer = >
| >
| | >
| | | >
| | | | >
| | | >
| | | | >
| | | >
| | | | <_UILabelContentLayer: 0x283b34c60> (layer)
| >
| | <_UILabelContentLayer: 0x283b34b60> (layer)
| ; layer = >
| | >
| | | <_UILabelContentLayer: 0x283b34a80> (layer)
| | ; layer = ; contentOffset: {0, 0}; contentSize: {309, 42}; adjustedContentInset: {0, 0, 0, 0}>
| | | <_UITextFieldCanvasView: 0x117169530; frame = (0 0; 309 42); opaque = NO; userInteractionEnabled = NO; layer = <_UITextTiledLayer: 0x28085d8c0>>
| | | | >
| | | | | >
| >
| >
| | >
| | >
| | | <_UILabelContentLayer: 0x283b35200> (layer)
| >
| | <_UILabelContentLayer: 0x283b34ec0> (layer)
| >
| | <_UILabelContentLayer: 0x283b35140> (layer)
| >
| | ; layer = >
| | | <_UITextFieldCanvasView: 0x1171bd3d0; frame = (0 0; 2 38); opaque = NO; userInteractionEnabled = NO; layer = <_UITextTiledLayer: 0x28085da70>>
| | >
| | | <_UILabelContentLayer: 0x283b35820> (layer)
| >
| | <_UILabelContentLayer: 0x283b35080> (layer)
| >
| | >
| | | >
| | ; layer = <_UILabelLayer: 0x281a145a0>>
| | | <_UILabelContentLayer: 0x283b35300> (layer)
| >
| | >
| >
| | >
| | | >
| | | | >
| | | >
| | | | <_UILabelContentLayer: 0x283b357a0> (layer)`
cy# 登录
throw new ReferenceError("Can't find variable: \u767b\u5f55")
cy# #0x117917e10.text = '逆向调试'
"\u9006\u5411\u8c03\u8bd5"
cy# #0x117917e10.size = MJSizeMake(200,30)
{0:200,1:30}
-
-
效果图如下:
皮皮虾APP,逆向调试
-