【来自越狱之家】IOS逆向免越狱进行 hello World 弹窗
前言本篇主要制作微信的 tweak,实现在非越狱版的手机上进行 hello World 弹窗,从而熟悉 iOS 逆向相关的工具(不包含lldb远程调试、反汇编技术等),以及了解 tweak 的主要流程(其实就是如何制作插件的过程)。
warn:本篇只是我在操作过程中的一点总结,并不深入讲解原理。若想深入了解可以查看iOS应用逆向工程 第2版或者看文章最后的参考文档。
[*]基本原理: 通过 app 启动时调用我们注入的动态库,从而进行 hook 。而之所以能够执行我们注入的动态库,是因为使用了mobilesubstrate 这个库,这个库能在程序运行的时候动态加载我们注入动态库。而非越狱手机里面是没有的,所以我们需要直接将这个库打包进 ipa 中,使用它的 API 实现注入。mobilesubstrate 库在下面的 github 中有提供,即是libsubstrate.dylib.
[*]本demo的github地址 : TKDemo
其中 /others 提供了 libsubstrate.dylib 与 本人写的 autoInsertDylib.sh脚本,autoInsertDylib.sh是用来实现注入动态库一体化。
[*]
以下部分工具(例如 claa-dump 、insert_dylib)可使用Xcode进行编译(command + b),然后在工程目录下的Products中拷贝目标文件,放在 /usr/local/bin 目录中,方便在 Termimal 中使用。
[*]主要流程: 砸壳 ==> 获取ipa ==> 制作tweak ==> 查看(更改)依赖库 ==> 注入动态库 ==> 打包重签名 ==> 安装
正文SSH 服务实现在越狱手机上远程进行ssh服务OpenSSH 在 Cydia 中安装 OpenSSH
[*]ssh : 远程登录
1
2
// 指令 ssh user@iOSIP
$ ssh mobile@192.168.1.6
[*]scp : 远程拷贝
本地文件拷贝到iOS上(iOS拷贝到本地则相反)
1
2
// 指令 scp /path/to/localFile user@iOSIP:/path/to/remoteFile
scp ~/Desktop/1.png root@192.168.1.6:/var/tmp/
注意,OpenSSH 默认登录密码为 alpine ,iOS 上的用户只有 root 与 mobile,修改密码使用passwd root(mobile)砸壳用来在越狱手机上获取ipaPS:可直接使用PP助手下载越狱版本的 ipa 文件(我就是这么懒得)Cluth
[*]下载并得到执行文件
1
2
3
4
$ git clone https://github.com/KJCracks/Clutch
$ cd Clutch
// 使用 Xcode 进行build,得到可执行文件
$ xcodebuild -project Clutch.xcodeproj -configuration Release ARCHS="armv7 armv7s arm64" build
[*]将可执行文件通过 ssh 拷贝到手机
1
scp Clutch/clutch root@<your.device.ip>:/usr/bin/
[*]先 ssh 到越狱手机上,clutch -i列出当前安装的应用,再使用clutch -d 序列号(或者bundle id)进行砸壳
1
2
3
$ ssh root@<your.device.ip>
$ clutch -i // 列出当前安装的应用
$ clutch -d bundle id (序列号) // 砸壳
clutch 将砸过后的 ipa 文件放到了/private/var/mobile/Documents/Dumped/
[*]拷贝到桌面
1
$ scp root@<your.device.ip>:/private/var/mobile/Documents/Dumped/xx.ipa ~/Desktop
导头文件(查看 app 相关头文件的信息)dump 目标对象的 class 信息的工具。class-dump将 demo.app 的头文件导出到~/Document/headers/中
1
class-dump -S -s -H demo.app -o ~/Document/headers/
制作 dylib 动态库制作我们要注入的 dylib 动态库本文章使用的是 theosPS:也可以使用iOSOpenDeviOSOpenDev 集成在 Xcode 中,提供了一些模板,可直接使用 Xcode 进行开发。只是这个工具停止更新,对高版本的 Xcode 不能很好地支持。本人装了多次老是失败,虽然最后在 Xcode 中有看到该工具,也不确定是否安装成功。若装失败可参考iOSOpenDev Wiki安装并配置 theos从 github 下载至opt/theos/
1
2
3
4
5
brew install dpkg ldid
export THEOS=/opt/theos
sudo git clone --recursive https://github.com/theos/theos.git $THEOS
sudo chown -R $(id -u):$(id -g) /opt/theos
可配置环境变量,vi ~/.bash_profile,在 .bash_profile 文件的最后加入(否则每次重启Terminal都要重新export)
1
2
export PATH=/opt/theos/bin:$PATH
export THEOS=/opt/theos
创建tweak使用 nic.pl 创建 tweak
若提示无此命令请根据上一步骤配置环境变量,或者不嫌麻烦使用/opt/theos/bin/nic.pl
根据提示选择 iphone/tweak,接着分别输入
[*]项目名
[*]该 deb 包的名字(类似 bundle identifier, 此 bundle identifier 与要 hook 的 app 的 bundle identifier 不是同一个)
[*]作者
[*]tweak 作用对象的 bundle identifier(比如微信为com.tencent.xin)
[*]tweak 安装完成后需要重启的应用名。(比如微信为WeChat)
如下所示:完成后会看到四个文件(make 后将生成 .theos 、obj 文件夹).
Makefile TKDemo.plist Tweak.xm control
[*]Makefile : 工程用到的文件、框架、库等信息。
该文件过于简单,还需要添加一些信息。如
指定处理器架构ARCHS = armv7 arm64
指定SDK版本TARGET = iphone:latest:8.0
导入所需的framework等等。
修改后的Makefile文件如下所示:
[*]TKDemo.plist 该文件中的 Bundles : 指定 bundle 为 tweak 的作用对象。也可添加多个 bundle, 指定多个为 tweak 作用对象。
[*]control : 该 tweak 所需的基本信息 (其实大部分都是刚刚创建 tweak 所填写的信息啦)
[*]Tweak.xm:重点文件,用来编写 hook 代码,因为支持Logos和C/C++语法,可以让我们不用去写一些 runtime 方法(必要时候还是要写)从而进行 hook 。.x 文件支持Logos语法,.xm 文件支持Logos和C/C++语法。
Logos 常用语法
[*]%hook
指定需要 hook 的类,以%end结尾。
[*]%orig
在 %hook 内部使用,执行 hook 住的方法原代码。
[*]%new
在%hook的内部使用,给 class 添加新方法,与class_addMethod相同。
与 Category 中添加方法的区别:Category 为编译时添加,class_addMethod 为动态添加。
warn :添加的方法需要在 @interface 中进行声明
[*]%c
获取一个类,等同于objc_getClass、NSClassFromString
%hook、%log、%orig 等都是 mobilesubstrate 的 MobileHooker 模块提供的宏,除此之外还有 %group %init、 %ctor等,其实也就是把 method swizzling 相关的方法封装成了各种宏标记,若想深入了解,请左转 Google编写 tweak.xm熟悉各种语法之后便可以进行编写代码了,其中MMUIViewController为微信的基础的ViewController。我们通过 hook viewDidApper: 来进行 hello World 弹窗。
编译使用make进行编译
若想重新编译记得先make clean
make后在当前文件夹下面将生成两个文件夹:.theos 与 obj,其中我们编译完成的动态库就在.thoes/obj/debug的下面,与工程名相同。若编译的时候提示找不到 common.mk 或者是 tweak.mk,请根据上述步骤(4.1 安装并配置 theos)重新 export theos,或写入至~/.bash_profile,或更改Makefile的文件,将$(THEOS)/makefiles 与 $(THEOS_MAKE_PATH) 替换成opt/theos/makefiles
查看(修改)依赖otool查看执行文件所依赖的库文件
1
otool -L TKDemo.dylib
若发现有依赖 /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate 使用 install_name_tool 更改依赖。CydiaSubstrate 只有越狱的手机上才有,因此需要我们手动更改并导入。更换动态库的依赖
1
2
install_name_tool -change /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate @loader_path/libsubstrate.dylib tkchat.dylib
// install_name_tool -change 需要替换的库 @loader_path/需要引用的库 需要更改的dylib
动态库注入把我们写的动态库注入到要 hook 的二进制文件insert_dylib先将 ipa 文件解压,在解压后的/Payload目录中,将app可执行文件拷贝出来。再将我们编写的动态库与libsubstrate.dylib 拷贝至app的包内容中。
执行命令:
./insert_dylib 动态库路径 目标二进制文件
1
2
./insert_dylib @executable_path/xxxx.dylib xxxx
// @executable_path 是一个环境变量,指的是二进制文件所在的路径
之所以能够不使用./是因为已经将 insert_dylib 导入到/usr/local/bin目录中
注入成功后将app目录中的 WeChat 删除,将 WeChat_patched 改为WeChat。warn :使用 insert_dylib 时若出现 error 记得修改权限, chmod 777 insert_dylib打包、重签名、安装使用图形化打包签名工具 ios-app-signer选择相应的证书与 Provisioning Profile 文件进行打包。友情提示:如果证书没有支持 watch,请删除 app 中的watch相关的文件。证书的话可以用 Xcode 新建个 Project (个人开发者证书7天后过期),在手机上运行下即可生成。导入时记得到真机上需要有相应的Provisioning Profile 文件。可在 Xcode-Window-Devices,双指点击设备查看Provisioning Profile文件,点击下面的 + 进行安装。也可使用PP助手进行安装。hello World最后就是我们的 hello WorldautoInsertDylib.sh 脚本由于以上的操作(查看更改依赖库、注入动态库)都类似且繁琐,个人懒癌,就写了这个sh。warn !!!
warn !!!
warn !!!
该脚本的中insert_dylib路径使用的是/usr/local/bin(请看前言),请根据自身环境更改脚本中的insert_dylib路径,以免错误。iOS App Singer 本人放在了/Applications/中,若Applications中没有,则在脚本执行完手动打开。使用:
1
./autoInsertDylib.sh ipa路径 libsubstrate.dylib路径 要注入的dylib路径
autoInsertDylib.sh 内容
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
# !/bin/bash
SOURCEIPA="$1"
LIBSUBSTRATE="$2"
DYLIB="$3"
if [ ! -d ~/Desktop/tk-tweak-temp-folder/ ]; then
echo "在 Desktop 创建tk-tweak-temp-folder"
mkdir ~/Desktop/tk-tweak-temp-folder
else
rm -rf ~/Desktop/tk-tweak-temp-folder/*
fi
cp "$SOURCEIPA" "$DYLIB" "$LIBSUBSTRATE" ~/Desktop/tk-tweak-temp-folder/
echo "正将" ${SOURCEIPA##*/} ${DYLIB##*/} ${LIBSUBSTRATE##*/}"拷贝至~/Desktop/tk-tweak-temp-folder"
cd ~/Desktop/tk-tweak-temp-folder/
otool -L ${DYLIB##*/} > depend.log
grep "/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate" depend.log >grep_result.log
if [ $? -eq 0 ]; then
echo "发现有依赖于 CydiaSubstrate, 正将其替换为 libsubstrate"
install_name_tool -change /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate @loader_path/libsubstrate.dylib ${DYLIB##*/}
else
echo "没有发现依赖于CydiaSubstrate"
fi
echo "解压" ${SOURCEIPA##*/}
unzip -qo "$SOURCEIPA" -d extracted
APPLICATION=$(ls extracted/Payload/)
cp -R ~/Desktop/tk-tweak-temp-folder/extracted/Payload/$APPLICATION ~/Desktop/tk-tweak-temp-folder/
echo "注入" ${DYLIB##*/} "到" $APPLICATION
cp ${DYLIB##*/} ${LIBSUBSTRATE##*/} $APPLICATION/
echo "删除" ${APPLICATION##*/} "中 watch 相关文件"
rm -rf ~/Desktop/tk-tweak-temp-folder/$APPLICATION/*watch*
rm -rf ~/Desktop/tk-tweak-temp-folder/$APPLICATION/*Watch*
echo "是否注入" ${DYLIB##*/} ":(Y/N)"
insert_dylib@executable_path/${DYLIB##*/} $APPLICATION/${APPLICATION%.*} > insert_dylib.log
echo "注入成功"
cd $APPLICATION
rm -rf ${APPLICATION%.*}
mv ${APPLICATION%.*}_patched ${APPLICATION%.*}
echo "正将"${APPLICATION%.*}_patched "覆盖为" ${APPLICATION%.*}
cd ~/Desktop/tk-tweak-temp-folder/
echo "删除临时文件"
rm -rf ${SOURCEIPA##*/} ${DYLIB##*/} ${LIBSUBSTRATE##*/} extracted insert_dylib.log depend.log grep_result.log
echo "打开 tk-tweak-temp-folder 文件夹"
open ~/Desktop/tk-tweak-temp-folder
open /Applications/iOS\ App\ Signer.app
总结以上就是整个 iOS 逆向的主要流程(虽然hook的代码很渣),其中注入动态库与打包重签名的工具不止一种,可以根据自己的爱好网上查找。本人也是踩了不少坑不断摸索来的,比如由于tweak工程名的问题,导致使用 iOS App Signer 打包重签名的一直error:
Error verifying code signature。希望能给刚入iOS 逆向坑的人一点帮助,文章中如有错误欢迎指出。由于涉及只是工具的使用,涉及到的原理比较薄弱... …我碰到个问题 我自己的tweak的cydiaSubstrate.framework是改了 但是一看libsubstrate.dylib这货里面也有依赖 不能用%hook一用就崩…你没改libsubstrate.dylib 咋用的%hook laozisz 发表于 2018-2-12 20:53
这个逆向就是第一张图的功能
这个逆向是第一张图的实现方式,但是第一张图的插件涉及到其他的东西 我不知道图片位置到底对不对,我只是看到好文章想分享给大家。。 看不懂,感觉很历害.只怪自己太菜...支持一下,感谢大神分享! 看不懂呀,楼主! 看到关于IOS的就进来看看 前排膜拜大佬 这是干什么用的? 很好 谢谢分享 谢谢分享! 现在苹果的系统越来越恶心了