iOSOpenDev

非越狱环境下的iOS App Hook

前言

提到非越狱环境下App Hook大家早就已经耳熟能详,已经有很多大神研究过,这方面相关的资料和文章也能搜到很多。我最早是看到乌云知识库上蒸米的文章才对这方面有所了解,当时就想试试,整个过程看似简单(大神总是一笔带过),然而当自己真正开始动手时一路上遇到各种问题(一脸懵逼),在iOSRE论坛上也看到大家遇到的各种问题,其实阻扰大家的主要是一些环境的搭建以及相关配置没设置好,结果导致dylib编译过程各种错误,重签名不成功,各种闪退等。所以本文里的每一步操作都会很详细的交代,确保大家都能操作成功。

应用脱壳

我们知道,App Store里的应用都是加密了的,直接拿上来撸是不正确的,所以[……]

MORE

浅谈iOS应用安全自动化审计

前言
此前有人统计过2015年漏洞最多的产品,苹果的OSX与iOS系统分别占据第一二名,虽有人怀疑统计数据可能存在重复的不准确情况,但相信大趋势是不会变的。

2015年在iOS平台上也发生过不少安全大事,比如“XcodeGhost”事件、iOS9越狱、“iBackDoor“、“YouMi“事件等等,尤其是XcodeGhost影响甚大,注定要在iOS安全史上留下重重的一笔。

结合CVEDetails站点上对iOS系统漏洞的统计情况【图1】,整体处于上升的趋势,尤其是2015年增长迅速,是2014年的3倍多,由此也可以预见iOS平台上的安全漏洞正在快速增长,iOS应用亦然。

[……]

MORE

“Hotpatch”潜在的安全风险

0x00 “Hotpatch”简介

IOS App的开发者们经常会出现这类问题:当一个新版本上线后发现存在一个严重的bug,有可能因为一个逻辑问题导致支付接口存在被薅羊毛的风险,这个时候能做的只能是赶快修复完安全问题并提交到appstore审核,在急忙推送用户尽快更新,避免为此导致的严重安全后果买单。为了解决此类问题遍有了实现给App应用”实时打补丁”这类方案,目前大致有两种主流的“热修复”的项目。

根据基本原理可以分为下面两种,

原理同为构建JS脚本与Object-C语言之间转换的桥梁。

  1. WaxPatch(Lua调用OC)
  2. JSPatch(Javascr[……]

MORE

简单聊聊 iOS 中的网络加密

摘要:公司的接口一般会两种协议的,一种HTTP,一种HTTPS的,HTTP 只要请求,服务器就会响应,如果我们不对请求和响应做出加密处理,所有信息都是会被检测劫持到的,是很不安全的,客户端加密可以使用本文这套工具类进行处理。

导言

公司的接口一般会两种协议的,一种HTTP,一种HTTPS的,HTTP 只要请求,服务器就会响应,如果我们不对请求和响应做出加密处理,所有信息都是会被检测劫持到的,是很不安全的,客户端加密可以使用本文这套工具类进行处理。

但是不论在任何时候,都应该将服务置于HTTPS上,因为它可以避免中间人攻击的问题,还自带了基于非对称密钥的加密通道。

HTTPS交互原理[……]

MORE

iOS冰与火之歌 – UAF and Kernel Pwn

作者:耀刺,蒸米,黑雪 @阿里移动安全
英文版:http://translate.wooyun.io/2016/06/12/54.html

0x00 序

冰指的是用户态,火指的是内核态。如何突破像冰箱一样的用户态沙盒最终到达并控制如火焰一般燃烧的内核就是《iOS冰与火之歌》这一系列文章将要讲述的内容。这次给大家带来的是 Use After Free 的漏洞利用方式以及iOS 9.0上如何利用UAF攻击iOS内核的技术。除此以外我们还公布了一个在iOS9.3.2中刚刚被修复的内核堆溢出漏洞,可以用来攻击iOS 9.3.2以下版本的iOS内核并实现iOS Pwn的终极目标 – 越[……]

MORE

Cycript中的注入技巧分析

0x00 前言

目前,在iOS中很多dylib是通过DYLDINSERTLIBRARIES来动态注入的,关于这种注入的防范方式最好的方法是在程序编译时,添加一个空的restict区段,因为dyld在load动态库时会检查区段中是否存在restict,如果存在那么就跳过加载。详情参见:防止tweak依附,App有高招;破解App保护,tweak留一手

前段时间,发现自己写的一个demo加了restict之后,仍然能够被cycript挂载,顺势分析了cycript的注入原理。

0x01 cycript简介

cycript是大神saurik开发的一个非常强大的工具[……]

MORE

iOS冰与火之歌 – 利用XPC过App沙盒

0x00 序

冰指的是用户态,火指的是内核态。如何突破像冰箱一样的用户态沙盒最终到达并控制如火焰一般燃烧的内核就是《iOS冰与火之歌》这一系列文章将要讲述的内容。这次给大家带来的是利用XPC突破app沙盒,并控制其他进程的pc(program counter)执行system指令。

《iOS冰与火之歌》系列的目录如下:

  1. Objective-C Pwn and iOS arm64 ROP
  2. 在非越狱的iOS上进行App Hook(番外篇)
  3. App Hook答疑以及iOS 9砸壳(番外篇)
  4. 利用XPC过App沙盒
  5. █████████████

另外文中[……]

MORE

iOS冰与火之歌番外篇 – App Hook答疑以及iOS 9砸壳

0x00 序

上一章我们讲到了在非越狱的iOS上进行App Hook。利用这个技术,你可以在非越狱的iOS系统上实现各种hook功能(e.g., 微信自动抢红包,自动聊天机器人,游戏外挂等)。但因为篇幅原因,有一些细节并没有讲的非常清楚。没想到阅读量非常大,很多人都来私信问我一些hook中遇到的问题,并且问的问题都很类似。于是我专门写了一篇答疑的文章来帮助大家解决一些常见的问题,顺便介绍一下如何在iOS 9上进行app 砸壳 (Dumpdecrypted)。另外想看主线剧情的读者也不要着急,下一篇就会给大家带来如何过沙盒的文章。

《iOS冰与火之歌》系列的目录如下:

    [……]

MORE

iOS冰与火之歌番外篇 – 在非越狱手机上进行App Hook

0x00 序

冰指的是用户态,火指的是内核态。如何突破像冰箱一样的用户态沙盒最终到达并控制如火焰一般燃烧的内核就是《iOS冰与火之歌》这一系列文章将要讲述的内容。但在讲主线剧情前,我们今天先聊一聊分支剧情 – 在非越狱的iOS上进行App Hook。利用这个技术,你可以在非越狱的iOS系统上实现各种hook功能(e.g., 微信自动抢红包,自动聊天机器人,游戏外挂等),但写这篇文章的目的并不是鼓励大家使用外挂,更不是鼓励大家去卖外挂,所以千万不要用这个技术去做一些违法的事情。

《iOS冰与火之歌》系列的目录如下:

  1. Objective-C Pwn and iOS ar[……]

MORE

iOS客户端hack的两种姿势

分析某商城漏洞,在漏洞验证时采用了两种iOS上的hack工具:cycript和reveal,各有风情,均能攻城拔寨,实乃我辈日常居家、杀人越货之利刃,现与诸君共享之。

0x00 漏洞缘起

该商城的iOS版app为用户提供了找回密码的功能,用户需通过三个步骤找回密码:

  1. 输入一个本地的图形辨识验证码(多余?)
  2. 提供用户手机号,输入一个短信验证码
  3. 输入新的密码、确认密码,然后Bingo

要找漏洞,先抓包看看,先易后难,实在不行再做逆向分析。burp架起先,开代理、关闭intercept、ssl协议算法全勾上(免得碰上奇葩ssl协商参数,以前遭过冤枉)。iPhon[……]

MORE