转载

iOS 逆向工程 [二]

学习是一个循序渐进的过程,其实这句话是有道理的,O(∩_∩)O哈哈~,本文是上一篇文章的续,上篇文章主要是一些基本的工具安装,以及使用,本篇文章做进一步的App调试。

端口映射

在前面我们说到,如何将iphone的22端口(SSH端口)映射到Mac本地的10010端口, 那么登录电脑上的10010就相当于链接到手机的22端口了,如果在 usb.sh脚本中后面加上一组映射,如下:

cd /Users/cuilinhao/Desktop/usbmuxd-1.0.8

python tcprelay.py -t 22:10010 10011:10011

则此时,端口会做两次映射,访问电脑10011 就是访问手机的10011,当然你也可以写成不同的,这里为了方便映射,才设置手机端和电脑端为同一个端口10011

bebugServer 签名

debugserver是运行在ios上,作为服务端,实际上执行LLDB(作为客户端)传过来的没命令,再把执行结果反馈给LLDB,显示给用户,即所谓的”远程调试”。在默认情况下,ios上并没有安装debugserver。需要设备连接Xcode,在window-->Devices菜单中增加此设备后,debugserver才会被Xcode安装到IOS设备的/Developer/usr/bin/目录下。注意:由于缺少task_for_pid权限,通过Xcode安装的debugserver只能调试自己的APP。为了逆向,我们需要对debugserver进行相关配置,使我们可以调试别人的APP。

通过iFunBox找到Devicce/Developer/usr/bin 先找到debugserver, 并拷贝到桌面,由于debugserver 权限是不足的,故需要签名,先把debugserver拿到桌面,重新签名,如果希望调试其他App,则需要对debugserver重新签名,签上2个调试相关的权限

  • get-task-allow

  • task_for_pid_allow

签名要三步,具体操作如下:

1. 使用命令 -e 将debugserver 导出为debugserver.entitlements

ldid -e debugserver > debugserver.entitlements

2. 双击打开debugserver.entitlements 添加权限

iOS 逆向工程 [二]

3. 使用命令-S 签名

cuilinhao$ ldid -Sdebugserver.entitlements debugserver

4. 将签名后的文件放到 usr/bin目录下即可。

测试:

Zhanghua123:~ root# debugserver
-sh: /usr/bin/debugserver: Permission denied
Zhanghua123:~ root#
//权限不够 使用chmod +x
Zhanghua123:~ root# chmod +x /usr/bin/debugserver

5. debugserver链接WiFi伴侣App,如果出现Failed to get connection from a remote gdb process.连接失败,则可以试着重启手机(reboot)或者killall SpringBoard,在下面debugserver进行连接时,*为主机地址,就是手机,: 是端口号

Zhanghua123:~ root# debugserver *:10011 -a wifibanlv
debugserver-@(#)PROGRAM:debugserver  PROJECT:debugserver-360.0.26.1
 for arm64.
Attaching to process wifibanlv...
Listening to port 10011 for a connection from *...

LLDB命令调试

1)启动LLDB

$lldb 
(lldb)

2)连接debugserver服务

(lldb) process connect connect:// 手机IP地址:debugserver 服务的端口号

3)使用LLDB的c命令让程序先继续运行

(lldb) c

如下图:

iOS 逆向工程 [二]

4)LLDB 指令

iOS 逆向工程 [二]

iOS 逆向工程 [二]

补充:

  • breakpoint list 查看断点编号

  • register read 读出地址

  • po $x0: 打印方法调用者

  • x/s $x1: 打印方法名

  • po $x2: 打印参数(以此类推,x3, x4也可能是参数)

  • 如果是非arm64, 寄存器就是r0, r1, r2

Hopper + LLDB 调试

在之前是有介绍过Hopper的,LLDB连接上debugserver后,我们首先使用下方的命令来查看当前进程中的所有模块,从这些输出信息中我们能找到“WeChat”这个进程在虚拟内存相对于模块基地址的偏移量

执行 image list -o -f 命令可以看到如下结果

iOS 逆向工程 [二]

左边红框就是ASLR偏移量(随机偏移量),ASLR偏移量其实就是虚拟内存的地址相对于模块基地址的偏移量

右边红框中的地址就是偏移后的地址

  • 模块在内存中的起始地址----模块基地址

  • ASLR偏移 ---- 虚拟内存起始地址与模块基地址的偏移量

从下方的输出结果我们可以知道:

ASLR偏移量 = 0x5b000, 模块偏移后基地址 = 0x5f000

=====

下方是使用Hopper打开的解密后的微信的安装包

iOS 逆向工程 [二]

其起始地址从下图中我们可以看出是0x4000, 这个地址就是模块偏移前的地址,也就是模块在虚拟内存中的起始地址。从Hopper中我们可以知道:模块偏移前的基地址=0x4000

从上面两组数据我们可以得出:

模块偏移后的基地址(0x5f000)= ASLR偏移量(0x5b000)+ 模块偏移前基地址(0x4000)

因为Hopper中显示的都是“ 模块偏移前基地址”,而LLDB要操作的都是“模块偏移后的基地址”

所以从Hopper到LLDB,我们要做一个地址偏移量的转换

当然,有一点需要注意的是Hopper与LLDB所选择的AMR架构的位数得一致,要么是32位,要么都是64位,如果位数不匹配的话,那么计算出来的内存地址肯定是不对的。

以上是用到的基本知识,然后我们就来操作一波

我们以WiFi伴侣为例,来查看WiFi伴侣获取的mac地址的相关方法。

PS:在进行断点调试时,如果有对要提示的App进行Tweak文件,请删除,如果不删除,断点会添加不上。

操作如下:

1. usb登录

cd /Users/cuilinhao/Desktop/usbmuxd-1.0.8

python tcprelay.py -t 22:10010 10011:10011

另开一个终端

ssh root@localhost -p 10010

2. debugServer 连接

Zhanghua123:~ root# debugserver *:10011 -a wifibanlv
debugserver-@(#)PROGRAM:debugserver  PROJECT:debugserver-360.0.26.1
 for arm64.
Attaching to process wifibanlv...
Listening to port 10011 for a connection from *...
Waiting for debugger instructions for process 0.

3. lldb 断点调试

(lldb) process connect connect://localhost:10011
Process 3667 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = signal SIGSTOP
    frame #00x000000018addef88 libobjc.A.dylib`objc_msgSend + 40
libobjc.A.dylib`
objc_msgSend:
->  0x18addef88 <+40>: br     x17
    0x18addef8c <+44>: cbz    x9, 0x18addf260           ; _objc_msgSend_uncached
    0x18addef90 <+48>: cmp    x12, x10
    0x18addef94 <+52>: b.eq   0x18addefa0               ; <+64>
Target 0: (wifibanlv) stopped.
(lldb) c
Process 3667 resuming
(lldb)

4. 通过Reveal 找到控制器

iOS 逆向工程 [二]

通过Reveal 可以看到要找的类是WBNetDetectViewController,头文件如下

#import "WBBaseViewController.h"

@class IPUserModelNSMutableArrayNetDetectToolWBNetDetectViewWBTableViewModel;

@interface WBNetDetectViewController : WBBaseViewController
{
    NSMutableArray *_foundDevicesList;
    WBNetDetectView *_selfView;
    WBTableViewModel *_tableModel;
    NetDetectTool *_detectTool;
    IPUserModel *_selectModel;
}

@property(retainnonatomic) IPUserModel *selectModel; // @synthesize selectModel=_selectModel;
@property(retainnonatomic) NetDetectTool *detectTool; // @synthesize detectTool=_detectTool;
@property(retainnonatomic) WBTableViewModel *tableModel; // @synthesize tableModel=_tableModel;
@property(retainnonatomic) WBNetDetectView *selfView; // @synthesize selfView=_selfView;
@property(retainnonatomicNSMutableArray *foundDevicesList; // @synthesize foundDevicesList=_foundDevicesList;
- (void).cxx_destruct;
- (void)handleMacNameResult:(id)arg1;
- (void)completeNetDetectResult;
- (void)openAntiRubNetworkGuide;
- (id)resultSection;
- (void)loadTableView;
- (void)startNetDetect;
- (void)backToPreViewController;
- (void)triggerRefreshNetDetect;
- (void)setupTableHeader;
- (void)didReceiveMemoryWarning;
- (void)viewWillAppear:(_Bool)arg1;
- (void)viewDidLoad;
- (_Bool)fd_prefersNavigationBarHidden;
- (void)loadView;

@end

因为逆向我们只能导出一些类的头文件,所以在想找到自己想要的数据时,也需要猜测,此时在WBNetDetectViewController中,看到handleMacNameResult这个方法,很可能是有我们要的mac地址的数据,so,我们可以先tweak找个类中的handleMacNameResult,打印一下arg参数看到确实是我们要找的

%hook WBNetDetectViewController

- (void)handleMacNameResult:(id)arg1
{
    NSLog(@"---mac------%@", arg1);

    打印结果
    ---mac------(
    "{/n    mac = /"C0:CE:CD:22:91:3C/";/n    macname = /"Apple, Inc./";/n    macname_zh = /"Apple/U82f9/U679c/";/n    nickname =;/n    pic = /"http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png/"/n}",
    "{/n    mac = /"C8:1E:E7:51:52:B3/";/n    macname = /"Apple, Inc./";/n    macname_zh = /"Apple/U82f9/U679c/";/n    nickname =;/n    pic = /"http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png/"/n}",
    "{/n    mac = /"B8:BC:1B:5B:58:AB/";/n    macname = /"HUAWEI TECHNOLOGIES CO.,LTD/";/n    macname_zh = /"Huawei/U534e/U4e3a/";/n    nickname =;/n    pic = /"http://static.wlanbanlv.com/06ab4e63498a29ac8b5a2d9c9e869dc22ad74697.png/"/n}"
)

}

%end

5. 通过Hopper找到handleMacNameResult这个方法

iOS 逆向工程 [二]

  • 获取基地址

(lldb) image list -o -f | grep wifibanlv
[  00x00000000000a0000 /var/containers/Bundle/Application/759BFDCF-F926-42DC-A271-4F4D15C5818D/wifibanlv.app/wifibanlv(0x00000001000a0000)
  • 设置断点,利用公式

模块偏移后的基地址(0x5f000)= ASLR偏移量(0x5b000)+ 模块偏移前基地址(0x4000)

此时的ASLR偏移量 是0x00000000000a0000,模块偏移前基地址是0x00000001001bbc14

breakpoint set -a 0x00000000000a0000+0x00000001001bbc14
  • 查看地址

register read
General Purpose Registers:
        x0 = 0x0000000129abe4b0
        x1 = 0x00000001009fa67c  "handleMacNameResult:"
        x2 = 0x0000000170e5a760
        x3 = 0x000000016fd5e978
        x4 = 0x0000000000000010
        x5 = 0x0000000000000068
        x6 = 0x0000000170e5a190
        x7 = 0x0000000000000000
        x8 = 0x0000000100d9a000  "splashAd"
        x9 = 0x00000001009fa67c  "handleMacNameResult:"
       x10 = 0x000000012811ec00
       x11 = 0x000000b1000000ff
       x12 = 0x000000012811f3c0
       x13 = 0x000005a100dc312f
       x14 = 0x0000000000000000
  • 查看参数

(lldb) po $x0

(lldb) x/s $x1
0x1009fa67c: "handleMacNameResult:"
(lldb) po $x2
<__nsarraym 0x170e5a760="">(
{
    mac = "C0:CE:CD:22:91:3C";
    macname = "Apple, Inc.";
    macname_zh = "Apple苹果";
    nickname =;
    pic = "http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png"
},
{
    mac = "BC:A9:20:E0:A2:E6";
    macname = "Apple, Inc.";
    macname_zh = "Apple苹果";
    nickname =;
    pic = "http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png"
},
{
    mac = "40:9C:28:9D:AE:22";
    macname = "";
    macname_zh = "";
    nickname =;
    pic = ""
},
  • 查看方法是谁调用的,使用指令bt 打印方法调用栈

(lldb) bt
* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1
  * frame #0: 0x00000001002763b4 wifibanlv`_mh_execute_header + 1926068
    frame #1: 0x0000000100894f4c wifibanlv`__cxa_throw + 1064120
    frame #2: 0x00000001008960a4 wifibanlv`__cxa_throw + 1068560
    frame #3: 0x000000018b21e1fc libdispatch.dylib`_dispatch_call_block_and_release + 24
    frame #4: 0x000000018b21e1bc libdispatch.dylib`_dispatch_client_callout + 16
    frame #5: 0x000000018b222d68 libdispatch.dylib`_dispatch_main_queue_callback_4CF + 1000
    frame #6: 0x000000018c342810 CoreFoundation`__CFRUNLOOP_IS_SERVICING_THE_MAIN_DISPATCH_QUEUE__ + 12
    frame #7: 0x000000018c3403fc CoreFoundation`__CFRunLoopRun + 1660
    frame #8: 0x000000018c26e2b8 CoreFoundation`CFRunLoopRunSpecific + 444
    frame #9: 0x000000018dd22198 GraphicsServices`GSEventRunModal + 180
    frame #10: 0x00000001922b57fc UIKit`-[UIApplication _run] + 684
    frame #11: 0x00000001922b0534 UIKit`UIApplicationMain + 208
    frame #12: 0x00000001000a9c7c wifibanlv`_mh_execute_header + 40060
    frame #13: 0x000000018b2515b8 libdyld.dylib`start + 4
(lldb)

此时如果你要找是谁调用了handleMacNameResult这个方法,为什么要找这个方法呢,因为从上面分析可以看出handleMacNameResult中的参数才是我们需要 的,反过来推,一定是哪个方法调用handleMacNameResult,然后将参数传入了handleMacNameResult中, 那怎么继续跟踪呢? 这里先说一下,oc方法运行时,其本质是Runtime在调用方法,比如:

【self testMethod:url】其实在调用方法时,走的是

objc_msgSend(self, @selector(testMethod), url),在我们进行断点时,是断在了方法中,那么在我们打印的x0 就是一个方法调用者,后面是方法,然后是参数等。用bt指令打印出来的调用栈,是从下向上调用的,故如果想知道是谁调用了handleMacNameResult,则可以用地址偏移公式来进行查找,

要找的地址 = 0x0000000100894f4c - ASLR偏移量(0x00000000000a0000)

此时可以用mac自带计算器运算

iOS 逆向工程 [二]

通过计算得到地址为 0x1007F4F4C,在Hopper中通过Navigation/Go to Address 进行查找,可以看到该地址在[ZLOpenWiFi getMacNameList:completionHandler:],然后再次对该方法进行断点跟踪

iOS 逆向工程 [二]

iOS 逆向工程 [二]

对伪代码进行分析如下:

typedef void (^AFURLSessionTaskCompletionHandler)(NSURLResponse *response, id responseObject, NSError *error);

@implementation XMNetWorkHelper

+(void)getMacNameList:(NSArray *)nameList completionHandler:(AFURLSessionTaskCompletionHandler)completionHandler
{

    r31 = r31 - 0xb0;
    *(r31 + 0x70) = r24;
    *(0x80 + r31) = r23;
    *(r31 + 0x80) = dic;
    *(0x90 + r31) = self;
    *(r31 + 0x90) = r20;
    *(0xa0 + r31) = nameList;
    *(r31 + 0xa0) = r29;
    *(0xb0 + r31) = r30;
    r29 = r31 + 0xa0;
    nameList = [arg2 retain];
    r20 = [arg3 retain];
    [ZLHelper isValidArray:nameList];//对数组判断是否合法
    NSMutableDictionary *dic;
    if (!CPU_FLAGS & E) {
        dic = [[NSMutableDictionary dictionaryWithCapacity:zero_extend_64(0x0)] retain];
        r0 = [self urlEncodeFormatStringList:nameList];//对数组进行处理然后拼成一个字符串
        r0 = [r0 retain];
        r24 = [[r0 componentsJoinedByString:@","retain];//按照,进行分割成一个数组r24
        [dic setObject:r24 forKey:@"bssid"];
        [r24 release];
        [r0 release];
        ZLOpenWiFi *openWifi = [ZLOpenWiFi sharedInstance];//r0 = openWifi;
        r29 = r29;
        r0 = [r0 retain];
        r23 = openWifi;
        if ([openWifi debugMode] != 0x0) {//[openWifi debugMode] 返回一个bool值
            *r31 = "+[ZLOpenWiFi getMacNameList:completionHandler:]";
            *(r31 + 0x8) = zero_extend_64(0x221);
            *(0x18 + r31) = dic;
            NSLog(0x100b82ae8);
        }
        [r23 release];
        r23 = [[ZLUrlHelper MacNameGetList] retain];//r23 是请求([self apiUrlMake:@"29004"])出的数据拼接在一起的字符串
        *(r31 + 0x20) = __NSConcreteStackBlock;
        *(r31 + 0x28) = *0x1008f5640;
        *(r31 + 0x30) = 0x1007f4f10;
        *(r31 + 0x38) = 0x100b47138;
        *(0x48 + r31) = r20;
        [r20 retain];
        /*
         r23 是请求([self apiUrlMake:@"29004"])出的数据拼接在一起的字符串
         dic中装的是 key 为bssid value为 namelist
         */

        [self getHttpEncryptRequestForUrl:r23 parameters:dic completionHandler:stack[2048]];
        [r23 release];
        [*(r31 + 0x40) release];
        [r20 release];
        r0 = dic;
    }
    else {
        r0 = [ZLOpenWiFi sharedInstance];
        r0 = [r0 retain];
        self = r0;
        if ([r0 debugMode] != 0x0) {
            asm { stp        x8, x9, sp };
            NSLog(0x100b82ac8);
        }
        [self release];
        *(r31 + 0x48) = __NSConcreteStackBlock;
        *(r31 + 0x50) = *0x1008f5640;
        *(r31 + 0x58) = 0x1007f4e88;
        *(r31 + 0x60) = 0x100b47108;
        *(0x70 + r31) = r20;
        [r20 retain];
        dispatch_async(__dispatch_main_q, r31 + 0x48);
        [*(r31 + 0x68) release];
        r0 = r20;
    }
    [r0 release];
    [nameList release];
}

作者:林子心

链接:https://www.jianshu.com/p/44766acbdb4d

正文到此结束
Loading...