iOS教程:Dump应用程序内存 Part2

2015-03-16 13,147

在上一篇文章《iOS教程:对App的内存堆内容进行转储》中,我们讨论了如何使用GDB从iOS应用程序的堆中转储敏感信息。在本文中,我们将介绍如何使用Cycript实现相同的目的,并使用class-dump-z专门输出类属性或者实例变量。这一次,我们将以更加自动化的方式来自动解析二进制文件的类转储,并创建必要的Cycript脚本来从内存中获取特定的属性。此外,我以后还将给出实现以上功能的另一工具。留意我们的GitHub账号,以获取最新的工具和脚本。

meitu_1

0x01 class-dump-z获取类信息

对于一个iOS应用程序,如果我们不能获取它的源代码,那么我们就必须首先解密二进制文件。首先,我们转储该文件的类信息。虽然已经有很多教程讲解如何进行解密,但是Clutch是我常用的工具,因为它使用起来很容易,而且它还能生成一个包含解密后的二进制文件信息的IPA文件,所以有需要时你就可以在其他设备上重新安装它。在我们提取和安装解密后的二进制文件后,我们可以运行class-dump-z来获得所有类的头文件信息、属性、类方法、实例方法等等。

MAPen-iPad-000314:~ root# ./class-dump-z -z TestApp
 
[TRUNCATED]
 
@interface CryptoManager : XXUnknownSuperclass {
@private
	NSData* key;
}
@property(retain, nonatomic) NSData* key;
+(id)CryptoManager;
-(id)init;
-(id)cipher:(id)cipher key:(id)key context:(unsigned)context;
-(id)cipher:(id)cipher key:(id)key context:(unsigned)context withIV:(BOOL)iv;
-(id)cipher:(id)cipher key:(id)key context:(unsigned)context withIV:(BOOL)iv usingIV:(id)iv5;
-(id)cipher:(id)cipher key:(id)key context:(unsigned)context withIV:(BOOL)iv usingIV:(id)iv5 withPad-ding:(BOOL)padding;
-(void)clearKey;
-(void)dealloc;
-(id)decryptData:(id)data;
-(id)decryptData:(id)data usingIV:(id)iv;
-(id)decryptData:(id)data usingIV:(id)iv withPadding:(BOOL)padding;
-(id)decryptData:(id)data withIV:(BOOL)iv;
-(id)decryptData:(id)data withIV:(BOOL)iv withHeader:(BOOL)header;
-(id)decryptData:(id)data withKey:(id)key;
-(id)decryptString:(id)string;
-(id)decryptString:(id)string withIV:(BOOL)iv;
-(id)decryptString:(id)string withIV:(BOOL)iv withHeader:(BOOL)header;
-(id)decryptString:(id)string withIV:(BOOL)iv withHeader:(BOOL)header withKey:(id)key;
-(id)decryptString:(id)string withKey:(id)key;
-(id)encryptData:(id)data;
-(int)encryptData:(id)data AndAppendToFileAtPath:(id)path initiatedByUnlockOperation:(BOOL)operation error:(id*)error;
-(id)encryptData:(id)data usingIV:(id)iv;
-(id)encryptData:(id)data withKey:(id)key;
-(id)encryptString:(id)string;
-(id)encryptString:(id)string withKey:(id)key;
-(id)hashString:(id)string;
-(id)hashString:(id)string salt:(id)salt;
-(BOOL)isHashOfString:(id)string equalToHash:(id)hash;
-(BOOL)isHeaderValid:(id)valid;
-(id)newHeader;
-(unsigned long)readEncryptedData:(void**)data atPath:(id)path offset:(long)offset length:(unsigned long)length initiatedByUnlockOperation:(BOOL)operation error:(id*)error;
@end
 
[TRUNCATED]

所以从上面代码中可以看出,TestApp中有一个类“CryptoManager”,并且它有一个属性“key”。这一点看起来很有趣,因为从上面信息中看出内存中可能会有一个加密密钥。接下来,我们使用Cycript从内存中抓取特定的属性。需要注意的是,在运行时期间,在登陆之前,类“CryptoManager”就被实例化了,但只有用户曾经在该设备上成功登录过才可以。此外,即使该类不再需要(例如,用户退出账号)了,它也并没有被清理掉,而这正是漏洞所在。在这个例子中,在前面的会话中我们已经成功登录,所以在下一次用户登录之前类已经存在于内存中。

0x02 获取实例信息

首先,我们通过一个SSH会话hook 正在运行的TestApp进程,这样我们就可以不用管运行在iOS设备上的应用程序了。

MAPen-iPad-000314:~ root# cycript -p TestApp
cy#

既然我们已经hook成功,下面我们接着讨论Cycript中的choose方法。Choose方法扫描堆以匹配类名字,并返回一个匹配目标类结构的对象数组。所以,如果我们输入“choose(MyClass)”,那么它将包含一个索引数组,该数组中包含着当前内存中(或者匹配结构的)类MyClass所有的实例化对象。下面的输出仅仅是第一个索引对象,它的索引值是“0”,并将其存储在一个变量“a”中。如果你更喜欢使用GDB,我们也可以返回内存位置,然后利用GDB转储内存的子区域中的所有内容,或者设置断点并观察寄存器。至于如何扫描堆,你可以查看上一篇文章《iOS教程:对App的内存堆内容进行转储》。然而,需要注意的是,该数组中可能有不止一个类的实例对象,那么你就需要遍历每个索引来得到目标类实例的属性。

cy# a=choose(CryptoManager)
[#"< CryptoManager: 0x17dcc340>",#"< CryptoManager: 0x17f42ba0>"]

接下来,为了方便我们以后抓取密钥并解密应用中的任何数据,现在我们从内存中转储属性“key”。

cy# a[0].key.hexString
@"6D2268CFFDDC16E890B365910543833190C9C02**DCA2342A9AEED68428EF9B6"

Bingo!现在我们已经拥有了十六进制的密钥,后面我们将可以利用此密钥来解密应用程序想要加密的任何东西。

0x03 实现自动化

现在,我们讨论下如何对上面操作实现自动化,并理清我们所了解的以及如何通过编程实现自动化。我们知道,class-dump-z输出中包含了所以类和它们属性。但我们不知道的是那些类目前是否已经实例化,而且我们也不知道内存中那些类实例化了多少次。所以,我们能做的就是解析class-dump-z的输出,并创建一个类和它们属性的映射图。既然我们有了映射图,那么现在我们就可以创建Cycript脚本来获取相关信息。然而,需要注意的是,这种技术只是针对已经实例化的类,我们并不会涉及在Cycript中如何创建一个新的实例,因为已经有很多教程和书籍介绍过了。

所以,我们必须从choose方法中阅读Cycript的输出内容,以此来确定对象已经在内存中实例化了多少次。为了实现这一点,我们可以使用JavaScript来获得数组长度:

cy# choose(CryptoManager).length
2
cy#

很酷吧,现在我们知道需要对数组循环多少次来获取“CryptoManager”所有的实例对象。现在我们就可以继续cycript脚本的编写。

Cycript可以将脚本作为参数,一个基本的脚本必须包含我们想运行的命令,就像下面一样:

MAPen-iPad-000314:~ root# cat dump.cy
a=choose(CryptoManager)[0]
a.key.hexString
 
MAPen-iPad-000314:~ root# cycript -p TestApp dump.cy
@"6D2268CFFDDC16E890B365910543833190C9C02**DCA2342A9AEED68428EF9B6"

0x04 遗留问题

不过,有一个我似乎无法解决的问题是,当你运行一个脚本时,Cycript只返回最后一行输出到终端,而不是所有的输出。所以,要从终端输出多个类以及它们的属性,你就不得不为每个类及属性创建一个新脚本。如果谁知道如何突破这个限制,请告诉我如何实现,或者你也可以用Cycript JavaScript(如果你喜欢这种语言)写出来。

【原文:iOS Tutorial – Dumping the Application Memory Part 2   安全脉搏PulseO0O翻译整理发布 】

本文作者:PulseO0O

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/5415.html

Tags:
评论  (0)
快来写下你的想法吧!

PulseO0O

文章数:12 积分: 1

搞死“永恒之蓝”。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号