bogon:~ qp$ otool -l ~/Desktop/com_kwai_gif | grep cry
cryptoff 16384
cryptsize 16384
cryptid 1
第一步:獲得cryptid盐须,cryptoffset,cryptsize(用otool)
cryptid為加密狀態(tài)漆腌,0表示未加密贼邓,1表示解密阶冈;
cryptoffset未加密部分的偏移量,單位bytes
cryptsize加密段的大小塑径,單位bytes
第二步:將cryptid修改為0
第三步:gdb導(dǎo)出解密部分
第四步:用第二步中的解密部分替換掉加密部分
第五步:簽名 (ldone)
第六步:打包成IPA安裝包
對(duì)iOS的.ipa文件進(jìn)行解密女坑,我們稱為砸殼,砸殼有兩種方式统舀,一種是破解其加密算法匆骗,一種是讀取內(nèi)存中正在運(yùn)行的元數(shù)據(jù)。
手動(dòng)砸殼概念
當(dāng)軟件運(yùn)行在內(nèi)存中后誉简,實(shí)際上內(nèi)存中軟件已經(jīng)被解密為二進(jìn)制數(shù)據(jù)碉就,我們只需要將內(nèi)存中的數(shù)據(jù)取出來,再把MachO文件的加密部分替換掉即可完成砸殼操作闷串。
操作步驟
- 在越獄手機(jī)中安裝正版軟件瓮钥。
- 通過
ps -A | grep 軟件名稱打印出運(yùn)行中的正版軟件路徑。
# ps命令最常用的還是用于監(jiān)控后臺(tái)進(jìn)程的工作情況,因?yàn)楹笈_(tái)進(jìn)程是不和屏幕鍵盤這些標(biāo)準(zhǔn)輸入/輸出設(shè)備進(jìn)行通信的,所以如果需要檢測(cè)其情況,便可以使用ps命令了烹吵。
$ps -A | grep AliPay
- 通過
scp -P 12345 root@ip地址:軟件路徑 ./把手機(jī)進(jìn)程中的軟件machO文件拷貝到電腦來碉熄。
# scp 是secure copy的簡(jiǎn)寫,用于在Linux下進(jìn)行遠(yuǎn)程拷貝文件的命令
# -P 是端口號(hào)的意思
# 12345 是USB映射端口號(hào)肋拔,通過Wi-Fi鏈接的話默認(rèn)端口號(hào)是22
# root 是最高級(jí)用戶
# ./ 表示電腦跟目錄
$scp -P 12345 root@192.168.1.23 ./.../.../AliPay ./
- 通過
otool -l machO文件 | grep cry查看已加密的數(shù)據(jù)cryptoff偏移量锈津,和已加密過的 數(shù)據(jù)cryptsize大小 ,otool介紹只损。
# otool(object file displaying tool) : 針對(duì)目標(biāo)文件的展示工具一姿,用來發(fā)現(xiàn)應(yīng)用中使用到了哪些系統(tǒng)庫七咧,調(diào)用了其中哪些方法跃惫,使用了庫中哪些對(duì)象及屬性,它是Xcode自帶的常用工具艾栋。
# -l 讀取load commands信息爆存,此信息在每個(gè)machO文件中都有。用于描述數(shù)據(jù)段的基本信息
# | shell的管道符
# grep cry 匹配包含cry字段的數(shù)據(jù)
$otool -l AliPay | grep cry
打印出如下信息
cryptoff 16384 #是MachO文件已加密數(shù)據(jù)段的偏移量蝗砾,而偏移量前面的都是未加密的數(shù)據(jù)段先较。
cryptsize 15613952 # 是MachO文件中已加密的真實(shí)數(shù)據(jù)段大小
cryptid 0 #已加密是用1表示,未加密用0表示悼粮,當(dāng)然如果要修改成其他數(shù)也是可以的闲勺。一般這個(gè)參數(shù)用0&1表示就足夠
- 使用lldb的
image list指令讀取軟件在內(nèi)存中的首地址,也就是我們讀取的這個(gè)軟件在內(nèi)存中的位置扣猫。
# 查看庫列表
$image list
- 重點(diǎn):使用lldb的
memory指令memory read --force --outfile ./decypted.bin -- binary --count 數(shù)據(jù)大胁搜(cryptsize) 內(nèi)存中軟件的首地址+便宜量(cryptoff)讀取內(nèi)存中已被解密的二進(jìn)制數(shù)據(jù)。
# memory 內(nèi)存操作命令
# read 讀取
# --force 表示按字節(jié)讀取
# --outfile 導(dǎo)出文件 后面跟隨文件位置和文件名及格式 bin是二進(jìn)制文件
# --binary 表示是二進(jìn)制文件
# --count 表示數(shù)據(jù)大小申尤,后面跟隨數(shù)據(jù)量癌幕,再跟隨拷貝數(shù)據(jù)的開始位置
$memory read --force --outfile ./decypted.bin --binary --count 15613952 0x0000000104c54000+16384
- 重點(diǎn):通過
dd seek=偏移量 bs=1 conv=notrunc if=./decrypted.bin of=./Mach-O文件把已解密的數(shù)據(jù)放回原始的machO文件中衙耕。
# dd 用指定大小的文件寫入另外一個(gè)文件當(dāng)中去
# seek=目標(biāo)文件開始寫入的位置
# bs=1 表示按1個(gè)字節(jié)寫
# conv=notrunc 寫入后保留輸出文件的原始部分
# if=./Mach-O文件 表示輸入文件
# of=./Mach-O文件 表示輸出的目標(biāo)文件
$dd seek=16384 bs=1 conv=notrunc if=./decrypted.bin of=./AliPay
輸出結(jié)果:
62914560+0 records in
62914560+0 records out
62914560+0 bytes transferred in 202.585956 secs (310557 bytes/sec)
- 查看machO文件是否砸殼成功
otool -l machO文件 | grep cry
cryptoff 16384
cryptsize 15613952
cryptid 1 仍然是1,但實(shí)際上已經(jīng)砸殼成功勺远〕却可以修改
通過 MachOView工具打開MachO文件,找到LC_ENCRYPTION_INFO_64胶逢,再找到Crypt ID厅瞎。將其的Data值修改為0,然后保存初坠。
通過class-dump導(dǎo)出頭文件磁奖、成功表示砸殼成功
$class-dump -H Alipay -o ./AlipayHeaders
結(jié)束
IPA應(yīng)用程序提交到蘋果商店時(shí), 蘋果官方的會(huì)對(duì)應(yīng)用添加自己殼某筐,所有蘋果手機(jī)應(yīng)用在app store下載在手機(jī)上比搭,都會(huì)存在蘋果官方的殼,所有就要進(jìn)行砸殼南誊,才能拿出手機(jī)中的IPA身诺。
方式一、Clutch砸殼
下載Clutch(高版本不支持了,10.2還是可以用抄囚,12.1不行了)霉赡,放入手機(jī)目錄(全局環(huán)境變量):/usr/bin,并且賦予執(zhí)行權(quán)限幔托。利用愛思助手打開ssh通道
查看當(dāng)前未砸殼程序
Clutch -I
進(jìn)行砸殼
Clutch -d packageName穴亏,如下是例子:
ios 12.1系統(tǒng)運(yùn)行Clutch會(huì)報(bào)錯(cuò),報(bào)錯(cuò)信息:Killed: 9
解決辦法,命令界面輸入:
cd /private/var/mobile/Documents(沒有就建立一個(gè))
ldid -e `which bash` > ent.xml
ldid -Sent.xml `which Clutch`
inject `which Clutch`
這個(gè)在ios12.1修復(fù)了重挑,我還是沒有成功.....
方式二嗓化、frida-ios-dump砸殼
前提,手機(jī)上安裝frida.通過注入js實(shí)現(xiàn)內(nèi)存dump谬哀,再由Python自動(dòng)拷貝到電腦生成ipa包
1刺覆、配置frida-ios-dump環(huán)境:從Github下載工程
sudo mkdir /opt/dump && cd /opt/dump && sudo git clone https://github.com/AloneMonkey/frida-ios-dump
安裝依賴:
sudo pip install -r /opt/dump/frida-ios-dump/requirements.txt --upgrade
修改dump.py參數(shù)(可直接打開修復(fù)):
vim /opt/dump/frida-ios-dump/dump.py
找到如下幾行(32~35), 如我不需要修改:
User = 'root'
Password = 'alpine'
Host = 'localhost'
Port = 2222
2、使用史煎,打開終端安裝
brew install usbmuxd
設(shè)置端口映射(因?yàn)槲疑厦孢B接手機(jī)是1025[看方式一端口]谦屑,但是這個(gè)要22[不懂],這里2222是上面腳本里的連接端口)我個(gè)人認(rèn)為是iproxy 2222 1025,但是不行篇梭,用iproxy 2222 22就可以氢橙。
(1)、打開第一個(gè)終端輸入:iproxy 2222 22(端口映射)
然后會(huì)自動(dòng)顯示等待連接:waiting for connection
(2)恬偷、打開第二個(gè)終端[此時(shí)comand+N新建終端]輸入:
(登錄成功后悍手,進(jìn)行3)
(3)、打開第三個(gè)終端,切換到/opt/dump/frida-ios-dump/目錄下谓苟,運(yùn)行./dump.py -l(小寫l)查看應(yīng)用
(4)官脓、對(duì)應(yīng)用進(jìn)行砸殼sudo ./dump.py boundID(這里因?yàn)檫@個(gè)目錄是sudo創(chuàng)建的,普通用戶不能創(chuàng)建文件涝焙,直接運(yùn)行dump.py會(huì)導(dǎo)致不能生成ipa)
(5)卑笨、生成在ipa在當(dāng)前目錄(/opt/dump/frida-ios-dump/目錄),ls查詢
作者:ESE_
鏈接:http://www.reibang.com/p/80c1311530c3
來源:簡(jiǎn)書
著作權(quán)歸作者所有仑撞。商業(yè)轉(zhuǎn)載請(qǐng)聯(lián)系作者獲得授權(quán)赤兴,非商業(yè)轉(zhuǎn)載請(qǐng)注明出處。
