iOS12-利用MonkeyApp免越狱编写插件
本帖最后由 wstclzy2010 于 2019-4-26 11:32 编辑前言:
前方小白出没。最近在等Electra更新,所以主动平刷入狱(打算在electra更新后最后越狱一次,把平时用的app都集成插件,再入狱12.3),没越狱还怎么实现某些非系统应用的插件注入呢,那就要用MonkeyDev里集成的MonkeyApp了。此帖是为了记录我使用MonkeyDev的过程,不算教程。调试过程才是最困难最耗心思的,但我还不会。设备是iOS12未越狱的6s,这里以黑匣子player为例,实现免登录启用vip功能。因为我之前已经用flex3乱试蒙到了关键函数,所以这里就没有写调试过程了。(非越狱调试过程也在monkeyapp里面完成,比如打断点/触发/删断点/LLDB调用函数/查看日志等,或者还要用Hopper,最后找到所需的参数)
准备工具:
[*]mac环境
[*]Xcode
[*]class-dump
[*]MonkeyDev
砸壳过程:
[*]用Thor抓包ipa文件的下载地址,图2的“链接”就是
[*]
[*]这里的黑匣子是在网页上下载的,不是在AppStore里面,所以没有加密,即不需要砸壳。假如是AppStore的应用,两个方法:PP助手直接下载越狱版app,就是不需要的砸壳的;或者找人帮你砸壳。
class-dump导出头文件:
[*]class-dump --arch arm64 拖入app文件夹 -H -o 拖入存放头文件的文件夹
[*]即完成应用dump
制作MonkeyApp:
[*]新建xcode项目,bundle ID还是在info.plist里面找
[*]
[*]选择MonkeyApp
[*]
[*]如果是需要调试的话,Build Setting里面class-dump和符号还原要设置为YES
[*]
[*]把ipa文件导入(复制ipa到TargetApp里面,再Add Files把ipa添加到里面“Target”文件夹下)
[*]
编写插件:
[*]因为已经用flex3试出了函数名,所以直接找到对应的头文件
[*]
[*]黑匣子用了代码混淆,所以类名和函数名是一段随机的字符。怎么发现的呢?之前越狱的时候用flex3去搜user类名(一般vip功能都在user/member/info里面)的时候搜不到结果,于是慢慢翻,找到以上两个类,里面有明显的布尔型变量,改成true后发现vip功能就实现了。可以说我是完全靠蒙的。(调试又不会,只能靠蒙才能混一混日子)
[*]既然函数名类名有了,代码混淆也就和不混淆是一样了,还是直接hook。这里的函数在声明里面,给它加上应有的格式- (XXXX)
[*]选择logos语言,所以代码为:%hook ijie3wheuwqdqd0rqeqwe
- (_Bool)BEGcaDJNEmWpEEEg
{
return true;
}
%end
%hook dsafefrg5yjh7k89kloljjytj
- (_Bool)LdZyICGjGvUjPsBL
{
return true;
}
%end
[*]然后直接真机调试,运行即可,会自动签名打包
[*]
[*]实现免登录启用VIP功能
[*]
[*]生成的app和dylib在项目文件夹下
[*]
[*]双击command就会自动生成ipa
[*]
[*]最后附上ipa,未越狱用cydia impactor安装。链接:https://pan.baidu.com/s/1AvtreddXtk1qQ61cocDq_A密码:r4mq
帖子为原创,我就是排骨
特别感谢:
[*]刘培庆/著——《iOS应用逆向与安全》
楼主 想请教个问题 我平时用虚拟机的Mac OS X 系统编译位置文件来修改手机xs定位。想着怎么能把那个文件打包到手机上不用虚拟机 在手机上直接运行。 xp9477 发表于 2019-4-26 16:50
APP作者新加了检测,需要再hook一下CustomIOSAlertView下的-(void) show
好像没用。但这不是主要的问题,1.6.2版本还加入了检测第三方签名 感谢分享 这个厉害了 感谢发布原创作品,吾爱破解论坛因你更精彩! 这个功能很溜啊,火钳刘明 感谢分享 感谢分享。高难度技术。 真是优秀,秀啊 老板天秀的秀。 这个是技术贴啊,我等就是看看啦