学习是一个循序渐进的过程,其实这句话是有道理的,O(∩_∩)O哈哈~,本文是上一篇文章的续,上篇文章主要是一些基本的工具安装,以及使用,本篇文章做进一步的App调试。
端口映射
在前面我们说到,如何将iphone的22端口(SSH端口)映射到Mac本地的10010端口, 那么登录电脑上的10010就相当于链接到手机的22端口了,如果在 usb.sh脚本中后面加上一组映射,如下:
cd /Users/cuilinhao/Desktop/usbmuxd-1.0.8
python tcprelay.py -t 22:10010 10011:10011
则此时,端口会做两次映射,访问电脑10011 就是访问手机的10011,当然你也可以写成不同的,这里为了方便映射,才设置手机端和电脑端为同一个端口10011
bebugServer 签名
debugserver是运行在ios上,作为服务端,实际上执行LLDB(作为客户端)传过来的没命令,再把执行结果反馈给LLDB,显示给用户,即所谓的”远程调试”。在默认情况下,ios上并没有安装debugserver。需要设备连接Xcode,在window-->Devices菜单中增加此设备后,debugserver才会被Xcode安装到IOS设备的/Developer/usr/bin/目录下。注意:由于缺少task_for_pid权限,通过Xcode安装的debugserver只能调试自己的APP。为了逆向,我们需要对debugserver进行相关配置,使我们可以调试别人的APP。
通过iFunBox找到Devicce/Developer/usr/bin 先找到debugserver, 并拷贝到桌面,由于debugserver 权限是不足的,故需要签名,先把debugserver拿到桌面,重新签名,如果希望调试其他App,则需要对debugserver重新签名,签上2个调试相关的权限
get-task-allow
task_for_pid_allow
签名要三步,具体操作如下:
1. 使用命令 -e 将debugserver 导出为debugserver.entitlements
ldid -e debugserver > debugserver.entitlements
2. 双击打开debugserver.entitlements 添加权限
3. 使用命令-S 签名
cuilinhao$ ldid -Sdebugserver.entitlements debugserver
4. 将签名后的文件放到 usr/bin目录下即可。
测试:
Zhanghua123:~ root# debugserver
-sh: /usr/bin/debugserver: Permission denied
Zhanghua123:~ root#
//权限不够 使用chmod +x
Zhanghua123:~ root# chmod +x /usr/bin/debugserver
5. debugserver链接WiFi伴侣App,如果出现Failed to get connection from a remote gdb process.连接失败,则可以试着重启手机(reboot)或者killall SpringBoard,在下面debugserver进行连接时,*为主机地址,就是手机,: 是端口号
Zhanghua123:~ root# debugserver *:10011 -a wifibanlv
debugserver-@(#)PROGRAM:debugserver PROJECT:debugserver-360.0.26.1
for arm64.
Attaching to process wifibanlv...
Listening to port 10011 for a connection from *...
LLDB命令调试
1)启动LLDB
$lldb
(lldb)
2)连接debugserver服务
(lldb) process connect connect:// 手机IP地址:debugserver 服务的端口号
3)使用LLDB的c命令让程序先继续运行
(lldb) c
如下图:
4)LLDB 指令
补充:
breakpoint list 查看断点编号
register read 读出地址
po $x0: 打印方法调用者
x/s $x1: 打印方法名
po $x2: 打印参数(以此类推,x3, x4也可能是参数)
如果是非arm64, 寄存器就是r0, r1, r2
Hopper + LLDB 调试
在之前是有介绍过Hopper的,LLDB连接上debugserver后,我们首先使用下方的命令来查看当前进程中的所有模块,从这些输出信息中我们能找到“WeChat”这个进程在虚拟内存相对于模块基地址的偏移量
执行 image list -o -f 命令可以看到如下结果
左边红框就是ASLR偏移量(随机偏移量),ASLR偏移量其实就是虚拟内存的地址相对于模块基地址的偏移量
右边红框中的地址就是偏移后的地址
模块在内存中的起始地址----模块基地址
ASLR偏移 ---- 虚拟内存起始地址与模块基地址的偏移量
从下方的输出结果我们可以知道:
ASLR偏移量 = 0x5b000, 模块偏移后基地址 = 0x5f000
=====
下方是使用Hopper打开的解密后的微信的安装包
其起始地址从下图中我们可以看出是0x4000, 这个地址就是模块偏移前的地址,也就是模块在虚拟内存中的起始地址。从Hopper中我们可以知道:模块偏移前的基地址=0x4000
从上面两组数据我们可以得出:
模块偏移后的基地址(0x5f000)= ASLR偏移量(0x5b000)+ 模块偏移前基地址(0x4000)
因为Hopper中显示的都是“ 模块偏移前基地址”,而LLDB要操作的都是“模块偏移后的基地址”
所以从Hopper到LLDB,我们要做一个地址偏移量的转换
当然,有一点需要注意的是Hopper与LLDB所选择的AMR架构的位数得一致,要么是32位,要么都是64位,如果位数不匹配的话,那么计算出来的内存地址肯定是不对的。
以上是用到的基本知识,然后我们就来操作一波
我们以WiFi伴侣为例,来查看WiFi伴侣获取的mac地址的相关方法。
PS:在进行断点调试时,如果有对要提示的App进行Tweak文件,请删除,如果不删除,断点会添加不上。
操作如下:
1. usb登录
cd /Users/cuilinhao/Desktop/usbmuxd-1.0.8
python tcprelay.py -t 22:10010 10011:10011
另开一个终端
ssh root@localhost -p 10010
2. debugServer 连接
Zhanghua123:~ root# debugserver *:10011 -a wifibanlv
debugserver-@(#)PROGRAM:debugserver PROJECT:debugserver-360.0.26.1
for arm64.
Attaching to process wifibanlv...
Listening to port 10011 for a connection from *...
Waiting for debugger instructions for process 0.
3. lldb 断点调试
(lldb) process connect connect://localhost:10011
Process 3667 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = signal SIGSTOP
frame #0: 0x000000018addef88 libobjc.A.dylib`objc_msgSend + 40
libobjc.A.dylib`objc_msgSend:
-> 0x18addef88 <+40>: br x17
0x18addef8c <+44>: cbz x9, 0x18addf260 ; _objc_msgSend_uncached
0x18addef90 <+48>: cmp x12, x10
0x18addef94 <+52>: b.eq 0x18addefa0 ; <+64>
Target 0: (wifibanlv) stopped.
(lldb) c
Process 3667 resuming
(lldb)
4. 通过Reveal 找到控制器
通过Reveal 可以看到要找的类是WBNetDetectViewController,头文件如下
#import "WBBaseViewController.h"
@class IPUserModel, NSMutableArray, NetDetectTool, WBNetDetectView, WBTableViewModel;
@interface WBNetDetectViewController : WBBaseViewController
{
NSMutableArray *_foundDevicesList;
WBNetDetectView *_selfView;
WBTableViewModel *_tableModel;
NetDetectTool *_detectTool;
IPUserModel *_selectModel;
}
@property(retain, nonatomic) IPUserModel *selectModel; // @synthesize selectModel=_selectModel;
@property(retain, nonatomic) NetDetectTool *detectTool; // @synthesize detectTool=_detectTool;
@property(retain, nonatomic) WBTableViewModel *tableModel; // @synthesize tableModel=_tableModel;
@property(retain, nonatomic) WBNetDetectView *selfView; // @synthesize selfView=_selfView;
@property(retain, nonatomic) NSMutableArray *foundDevicesList; // @synthesize foundDevicesList=_foundDevicesList;
- (void).cxx_destruct;
- (void)handleMacNameResult:(id)arg1;
- (void)completeNetDetectResult;
- (void)openAntiRubNetworkGuide;
- (id)resultSection;
- (void)loadTableView;
- (void)startNetDetect;
- (void)backToPreViewController;
- (void)triggerRefreshNetDetect;
- (void)setupTableHeader;
- (void)didReceiveMemoryWarning;
- (void)viewWillAppear:(_Bool)arg1;
- (void)viewDidLoad;
- (_Bool)fd_prefersNavigationBarHidden;
- (void)loadView;
@end
因为逆向我们只能导出一些类的头文件,所以在想找到自己想要的数据时,也需要猜测,此时在WBNetDetectViewController中,看到handleMacNameResult这个方法,很可能是有我们要的mac地址的数据,so,我们可以先tweak找个类中的handleMacNameResult,打印一下arg参数看到确实是我们要找的
%hook WBNetDetectViewController
- (void)handleMacNameResult:(id)arg1
{
NSLog(@"---mac------%@", arg1);
打印结果
---mac------(
"{/n mac = /"C0:CE:CD:22:91:3C/";/n macname = /"Apple, Inc./";/n macname_zh = /"Apple/U82f9/U679c/";/n nickname =;/n pic = /"http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png/"/n}",
"{/n mac = /"C8:1E:E7:51:52:B3/";/n macname = /"Apple, Inc./";/n macname_zh = /"Apple/U82f9/U679c/";/n nickname =;/n pic = /"http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png/"/n}",
"{/n mac = /"B8:BC:1B:5B:58:AB/";/n macname = /"HUAWEI TECHNOLOGIES CO.,LTD/";/n macname_zh = /"Huawei/U534e/U4e3a/";/n nickname =;/n pic = /"http://static.wlanbanlv.com/06ab4e63498a29ac8b5a2d9c9e869dc22ad74697.png/"/n}"
)
}
%end
5. 通过Hopper找到handleMacNameResult这个方法
获取基地址
(lldb) image list -o -f | grep wifibanlv
[ 0] 0x00000000000a0000 /var/containers/Bundle/Application/759BFDCF-F926-42DC-A271-4F4D15C5818D/wifibanlv.app/wifibanlv(0x00000001000a0000)
设置断点,利用公式
模块偏移后的基地址(0x5f000)= ASLR偏移量(0x5b000)+ 模块偏移前基地址(0x4000)
此时的ASLR偏移量 是0x00000000000a0000,模块偏移前基地址是0x00000001001bbc14
breakpoint set -a 0x00000000000a0000+0x00000001001bbc14
查看地址
register read
General Purpose Registers:
x0 = 0x0000000129abe4b0
x1 = 0x00000001009fa67c "handleMacNameResult:"
x2 = 0x0000000170e5a760
x3 = 0x000000016fd5e978
x4 = 0x0000000000000010
x5 = 0x0000000000000068
x6 = 0x0000000170e5a190
x7 = 0x0000000000000000
x8 = 0x0000000100d9a000 "splashAd"
x9 = 0x00000001009fa67c "handleMacNameResult:"
x10 = 0x000000012811ec00
x11 = 0x000000b1000000ff
x12 = 0x000000012811f3c0
x13 = 0x000005a100dc312f
x14 = 0x0000000000000000
查看参数
(lldb) po $x0
(lldb) x/s $x1
0x1009fa67c: "handleMacNameResult:"
(lldb) po $x2
<__nsarraym 0x170e5a760="">(
{
mac = "C0:CE:CD:22:91:3C";
macname = "Apple, Inc.";
macname_zh = "Apple苹果";
nickname =;
pic = "http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png"
},
{
mac = "BC:A9:20:E0:A2:E6";
macname = "Apple, Inc.";
macname_zh = "Apple苹果";
nickname =;
pic = "http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png"
},
{
mac = "40:9C:28:9D:AE:22";
macname = "";
macname_zh = "";
nickname =;
pic = ""
},
查看方法是谁调用的,使用指令bt 打印方法调用栈
(lldb) bt
* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1
* frame #0: 0x00000001002763b4 wifibanlv`_mh_execute_header + 1926068
frame #1: 0x0000000100894f4c wifibanlv`__cxa_throw + 1064120
frame #2: 0x00000001008960a4 wifibanlv`__cxa_throw + 1068560
frame #3: 0x000000018b21e1fc libdispatch.dylib`_dispatch_call_block_and_release + 24
frame #4: 0x000000018b21e1bc libdispatch.dylib`_dispatch_client_callout + 16
frame #5: 0x000000018b222d68 libdispatch.dylib`_dispatch_main_queue_callback_4CF + 1000
frame #6: 0x000000018c342810 CoreFoundation`__CFRUNLOOP_IS_SERVICING_THE_MAIN_DISPATCH_QUEUE__ + 12
frame #7: 0x000000018c3403fc CoreFoundation`__CFRunLoopRun + 1660
frame #8: 0x000000018c26e2b8 CoreFoundation`CFRunLoopRunSpecific + 444
frame #9: 0x000000018dd22198 GraphicsServices`GSEventRunModal + 180
frame #10: 0x00000001922b57fc UIKit`-[UIApplication _run] + 684
frame #11: 0x00000001922b0534 UIKit`UIApplicationMain + 208
frame #12: 0x00000001000a9c7c wifibanlv`_mh_execute_header + 40060
frame #13: 0x000000018b2515b8 libdyld.dylib`start + 4
(lldb)
此时如果你要找是谁调用了handleMacNameResult这个方法,为什么要找这个方法呢,因为从上面分析可以看出handleMacNameResult中的参数才是我们需要 的,反过来推,一定是哪个方法调用handleMacNameResult,然后将参数传入了handleMacNameResult中, 那怎么继续跟踪呢? 这里先说一下,oc方法运行时,其本质是Runtime在调用方法,比如:
【self testMethod:url】其实在调用方法时,走的是
objc_msgSend(self, @selector(testMethod), url),在我们进行断点时,是断在了方法中,那么在我们打印的x0 就是一个方法调用者,后面是方法,然后是参数等。用bt指令打印出来的调用栈,是从下向上调用的,故如果想知道是谁调用了handleMacNameResult,则可以用地址偏移公式来进行查找,
要找的地址 = 0x0000000100894f4c - ASLR偏移量(0x00000000000a0000)
此时可以用mac自带计算器运算
通过计算得到地址为 0x1007F4F4C,在Hopper中通过Navigation/Go to Address 进行查找,可以看到该地址在[ZLOpenWiFi getMacNameList:completionHandler:],然后再次对该方法进行断点跟踪
对伪代码进行分析如下:
typedef void (^AFURLSessionTaskCompletionHandler)(NSURLResponse *response, id responseObject, NSError *error);
@implementation XMNetWorkHelper
+(void)getMacNameList:(NSArray *)nameList completionHandler:(AFURLSessionTaskCompletionHandler)completionHandler
{
r31 = r31 - 0xb0;
*(r31 + 0x70) = r24;
*(0x80 + r31) = r23;
*(r31 + 0x80) = dic;
*(0x90 + r31) = self;
*(r31 + 0x90) = r20;
*(0xa0 + r31) = nameList;
*(r31 + 0xa0) = r29;
*(0xb0 + r31) = r30;
r29 = r31 + 0xa0;
nameList = [arg2 retain];
r20 = [arg3 retain];
[ZLHelper isValidArray:nameList];//对数组判断是否合法
NSMutableDictionary *dic;
if (!CPU_FLAGS & E) {
dic = [[NSMutableDictionary dictionaryWithCapacity:zero_extend_64(0x0)] retain];
r0 = [self urlEncodeFormatStringList:nameList];//对数组进行处理然后拼成一个字符串
r0 = [r0 retain];
r24 = [[r0 componentsJoinedByString:@","] retain];//按照,进行分割成一个数组r24
[dic setObject:r24 forKey:@"bssid"];
[r24 release];
[r0 release];
ZLOpenWiFi *openWifi = [ZLOpenWiFi sharedInstance];//r0 = openWifi;
r29 = r29;
r0 = [r0 retain];
r23 = openWifi;
if ([openWifi debugMode] != 0x0) {//[openWifi debugMode] 返回一个bool值
*r31 = "+[ZLOpenWiFi getMacNameList:completionHandler:]";
*(r31 + 0x8) = zero_extend_64(0x221);
*(0x18 + r31) = dic;
NSLog(0x100b82ae8);
}
[r23 release];
r23 = [[ZLUrlHelper MacNameGetList] retain];//r23 是请求([self apiUrlMake:@"29004"])出的数据拼接在一起的字符串
*(r31 + 0x20) = __NSConcreteStackBlock;
*(r31 + 0x28) = *0x1008f5640;
*(r31 + 0x30) = 0x1007f4f10;
*(r31 + 0x38) = 0x100b47138;
*(0x48 + r31) = r20;
[r20 retain];
/*
r23 是请求([self apiUrlMake:@"29004"])出的数据拼接在一起的字符串
dic中装的是 key 为bssid value为 namelist
*/
[self getHttpEncryptRequestForUrl:r23 parameters:dic completionHandler:stack[2048]];
[r23 release];
[*(r31 + 0x40) release];
[r20 release];
r0 = dic;
}
else {
r0 = [ZLOpenWiFi sharedInstance];
r0 = [r0 retain];
self = r0;
if ([r0 debugMode] != 0x0) {
asm { stp x8, x9, sp };
NSLog(0x100b82ac8);
}
[self release];
*(r31 + 0x48) = __NSConcreteStackBlock;
*(r31 + 0x50) = *0x1008f5640;
*(r31 + 0x58) = 0x1007f4e88;
*(r31 + 0x60) = 0x100b47108;
*(0x70 + r31) = r20;
[r20 retain];
dispatch_async(__dispatch_main_q, r31 + 0x48);
[*(r31 + 0x68) release];
r0 = r20;
}
[r0 release];
[nameList release];
}
作者:林子心
链接:https://www.jianshu.com/p/44766acbdb4d