本帖最后由 small-q 于 2021-5-18 19:56 编辑
0x00 本文由来 笔者对插件抢红包这东西是比较感兴趣的,不知道为什么,反正就是喜欢!然后这就成为了一种动力想去深入研究!由于之前用的是旧的 MBP,很多东西都无法深入去学习实例,都只能在外面磨蹭一下(你懂的),直到今年用上了苹果全新的 M1 ,才有机会进行各种深入学习。
0x01 工具环境- MacBook Pro (M1), iPhone (越狱)
- Xcode
- xcode-select --install
- theos
- frida
- optool
0x02 事前准备
2.1 提取描述文件这一步可参照《iOS应用逆向与安全之道》第 9.5.1 节进行。 先用 Xcode 新建一个空的 iOS 工程并编绎,具体步骤见如下几张图片:
选择证书
设置BundleId
定位描述文件
最后得到 embedded.mobileprovision 描述文件复制出来备用。 特别提示:记住本节的 Bundle identifier(BundleId)为: com.qyc.test ,后面最重要的一环需要用到。
2.2 应用脱壳脱壳方式也有很多种,这里使用 C 版压箱底的神秘工具进行,如下图所示。
得到脱壳后的 ipa 文件备用
2.3 编译插件
通过 git 下载插件源代码(已支持最新8.0.5): make 后得到 WeChatRedEnvelop.dylib 备用。
2.4 查看依赖
这一步查看插件的依赖库,使用如下命令: [Shell] 纯文本查看 复制代码 otool -L WeChatRedEnvelop.dylib
需要 CydiaSubstrate.framework 依赖,根据路径去越狱手机上定位 。
定位到CydiaSubstrate.framework
展开 CydiaSubstrate.framework ,导出 libsubstrate.dylib 备用。
导出libsubstrate.dylib
2.5 修改依赖将 WeChatRedEnvelop.dylib 文件依赖的路径改为: @executable_path/Frameworks/(也就是 App 目录下的 Frameworks 子目录),具体如下: [Shell] 纯文本查看 复制代码
install_name_tool -change /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate @executable_path/Frameworks/libsubstrate.dylib WeChatRedEnvelop.dylib
再次查看 WeChatRedEnvelop.dylib 依赖,一切正常!
现在整个项目目录如下所示:
项目目录
0x03 注入 dylib
3.1 解压 ipa
[Shell] 纯文本查看 复制代码 unzip -oqq ./WeChat_8.0.5_gfd.ipa -d "${SRCROOT}"
查看主程序是否解密:↓(为0表示已正确解密的)。 [Shell] 纯文本查看 复制代码 otool -l ./Payload/WeChat.app/WeChat | grep crypt
3.2 脚本处理
新建 copydel.sh 脚本,其实就是删除和复制一些文件到 App 包里去: [Shell] 纯文本查看 复制代码 rm -rf ./Payload/WeChat.app/com.apple.WatchPlaceholder
rm -rf ./Payload/WeChat.app/Watch
rm -rf ./Payload/WeChat.app/PlugIns
cp -r WeChatRedEnvelop.dylib ./Payload/WeChat.app/Frameworks/WeChatRedEnvelop.dylib
cp -r ./CydiaSubstrate.framework/libsubstrate.dylib ./Payload/WeChat.app/Frameworks/libsubstrate.dylib
cp -r embedded.mobileprovision ./Payload/WeChat.app/embedded.mobileprovision
记得 embedded.mobileprovision 描述文件也要复制进 app 去
3.3 开始注入
更改主程序执行权限: [Shell] 纯文本查看 复制代码 chmod +x ./Payload/WeChat.app/WeChat
开始注入: [Shell] 纯文本查看 复制代码
optool install -c load -p @executable_path/Frameworks/WeChatRedEnvelop.dylib -t ./Payload/WeChat.app/WeChat
注入过程如下图所示。
确认注入情况: [Shell] 纯文本查看 复制代码 otool -L ./Payload/WeChat.app/WeChat
看到已注入完成!
3.4 修改 BundleId
需要修改 BundleId 与 Demo 工程保持一致: [Shell] 纯文本查看 复制代码
/usr/libexec/PlistBuddy -c "set :CFBundleIdentifier com.qyc.test" ./Payload/WeChat.app/Info.plist
这步非常重,要不然会造成非越狱机器无法安装。 顺便处理:安装 ipa 报 DeviceNotSupportedByThining. 错误: [Shell] 纯文本查看 复制代码
/usr/libexec/PlistBuddy -c "Delete :UISupportedDevices" ./Payload/WeChat.app/Info.plist
0x04 应用重签
4.1 列出证书
[Shell] 纯文本查看 复制代码 security find-identity -v -p codesigning
这里选用第 2 个证书编号进行后续签名(后续证书签名及 ID 已被掩码)。
4.2 提取 entitlements.plist 文件
要给 App 文件签名得先从 embedded.mobileprovision 文件中提取出 entitlements.plist 权限文件: [Shell] 纯文本查看 复制代码
security cms -D -i embedded.mobileprovision > temp.plist
/usr/libexec/PlistBuddy -x -c 'Print :Entitlements' temp.plist > entitlements.plist
分成两步,最终生成一个权限文件entitlements.plist
4.3 签名 Framework
这一步签名 Framework 目录下的所有 Mach-O 可执行文件(这点非常重要) [Shell] 纯文本查看 复制代码
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/andromeda.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/App.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/Flutter.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/ilink_network.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/libsubstrate.dylib
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/Lottie.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/matrixreport.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/mm_dart_cpp.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/OpenSSL.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/ProtobufLite.framework
codesign -f -s "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" ./Payload/WeChat.app/Frameworks/WeChatRedEnvelop.dylib
4.4 签名 App
[Shell] 纯文本查看 复制代码 codesign -fs "Apple Development: 888888888*qq.com ([url=tel:9999999999]9999999999[/url])" --no-strict --entitlements=entitlements.plist ./Payload/WeChat.app
签名结果
一气合成,这就签完名啦!
4.5 查看/验证签名
[Shell] 纯文本查看 复制代码 codesign -vv -d ./Payload/WeChat.app
Framework 目录的检查同理可推,略过。 下面这一步如果没有任何输出代表签名验证通过: [Shell] 纯文本查看 复制代码 codesign --verify ./Payload/WeChat.app
4.6 重新打包
[Shell] 纯文本查看 复制代码 zip -qr Simple_WeChat_8.0.5.ipa Payload/
4.7 安装ipa
这一步是最常规的操作了,也详细列出来吧,使用爱思助手:
非越狱机器顺利安装,没有任何错误!打开不会闪退!并看到插件成功注入:↓
插件效果
本节使用的命令行在你完成单步理解后,完全可以做成 sh 脚本完成自动化操作,这里就不讲述了。 最后,你就可以愉快的学习别人的代码并进行各种功能改进了!
0x05 友情提示
- 在此我想说一下,使用别人的开源插件一定要要保留人家的版权信息并表示谢意,做人要厚道,不要像有个 Cydia 的 xx 号,拿了别人的插件加入各种信息进行获利,真不要脸!
- 本文技术仅供技术交流,请勿用于非法用途。
0x06 总结
macOS、iOS的签名工具非常多,如果不理解其签名原理,则是知其然不知其所以然,从而耽误很多事情。在遇到问题的时候得深入研究,仔细探究其中的奥秘,避免完全做个“工具党”。
0x07 参考文献
|