越狱环境中Cycript的使用
1. 手机安装Cycript 2. USB链接手机 1. clear -> 清理手机的终端 -> 需要该插件支持adv-cmds 3. adv-cmds -> 让手机的终端更多命令 4. ps -A -> 获取手机进程 1. ps -A | grep WeChat -> 找到WeChat的进程 5. cycript -p 13379 -> 1. 13379 -> 程序进程 -> 用ps -A 获取 2. cycript -p <应用名> 也可以 3. ctrl d -> 退出cycript 6. 导入自定义.cy 1. cd /usr/lib/cycript0.9/ 2. pwd -> 输出路径 3. scp -P 12345 ./hank.cy root@localhost:/usr/lib/cycript0.9/ 1. scp -P 12345 ./hank.cy root@localhost:/usr/lib/cycript0.9/com/Logic -> 注意最后的文件夹命名 -> 学习参考 2. 此时再cycript -p AlipayWallet -> @import hank -> 就可以使用了 4. cycript -p AlipayWallet 1. cycript0.9该目录下 -> com/saurik/substrate/MS.cy 2. @import com.saurik.substrate.MS -> 可正确导入MS文件 3. 学习别人的文件放置方法 -> 目的防止cycript0.9文件下太多冲突 4. mkdir Logic -> 创建文件夹 1. mv hank.cy ./com/Logic/ -> @import com.Logic.hank 2. 查资料 看cycript的文档怎么一次性导入多个.cy文件
theos
- 查看MonkeyDev的Git -> theos -> 安装ldid
1.sudo git clone --recursive https://github.com/theos/theos.git /opt/theos
1.--recursive -> 循环安装theos需要的依赖库
2.最后的/opt/theos -> 安装位置
2.ldid -> 签名工具 -> 针对越狱插件的一个签名
1.codesign -> iOS系统的一个签名工具
- echo $THEOS -> 打印./zchrc里的该定义的路径
- 主要是使用theos/bin/nic.pl脚本来制作插件
- nic.pl
分析支付宝登录密码
1. 链接手机 2. ps -A | grep Ali -> 找到支付宝进程 3. cycript -p AlipayWallet 4. @import com.Logic.hack 1. HKCurrentVC() 2. #0x10xfasdf(上一步获取的VC地址).view.recursiveDescription().toString() -> 打印界面视图 -> 找刚才输入的密码字符串 5. 找界面中文汉字 -> 新开终端 -> 进入python环境 1. str = u"登录" 2. str -> 就找到该字符串对应的编码 -> copy去搜索 6. 找到该按钮的对象 -> #(按钮对象地址).allTargets 1. #(按钮对象地址).allControlEvents -> 64 -> touchUpInside 2. 1 << 6 位 -> 2的6次方 -> 64 1. 可进入python环境验证 -> 2**5 2的5次方 2. 2**6 -> 2的6次方 -> 64 3. exit() -> 退出python环境 7. [#(按钮对象地址) actionsForTarget: #(上层容器地址 在第6步可以获取) forControlEvent: 64] -> 可以打印出方法名 @["onNext"] 8. ctrl d -> 退出cycript环境 9. dump.cy 支付宝 -> 砸壳支付宝 1. class-dump -H AlipayWallet -o headers/ -> 导出头文件 2. Sublime Text -> 打开头文件夹 3. command shift f -> 对应类名 @interface ALUAccuratePWDView 4. 找到ALUAccuratePWDView文件 -> 看是否有onNext方法 5. 根据动静态分析找到可能与密码有关的类 aluLoginBox 6. 找到该类aluLoginBox -> aluInputBox 10. /#(ALUAccuratePWDView对象地址)->_loginBox->_passwordInputBox 1. 上面的->也是命令 -> 可以打印_passwordInputBox的地址 2. /#(ALUAccuratePWDView对象地址)->_loginBox->_passwordInputBox->_textField -> 打印_textField的对象地址
theos使用
- nic.pl -> 15 -> 代表插件
- 插件工程设置 -> 此处注意包名称(类似于Build ID)统一都是小写
image.png
1. Bundld filter -> 要附加的进程id(Build ID) 2. cycript -p AlipayWallet -> APPID -> 拿到Build ID 3. 最后一项是插件安装之后要杀掉的进程 -> 默认是桌面进程SpringBoard 1. 此处多写了支付宝AlipayWallet
- 上一步生成的文件夹用Sublime Text打开
1.Makefile的配置
image.png
- Tweak.x -> Logos语法文件
image.png
- cd alipaypwddemo/
- make -> Makefile有这个文件就可以执行编译
1. 路径有中文 -> 编译失败 -> 拷贝整个文件到桌面 2. make -> 报错因为NSLog没有导入Foundtion框架 3. 导入头文件后 make -> 成功 4. make package -> 打包 5. make install 1. 因为上面有安装成功时有要杀掉进程的,此时按理来说应该杀掉的 6. 如果hook失败 1. 检查hook代码 2. make clean -> 上面的3-6流程 3. Xcode -> window -> Devices -> Open Console
完整hook代码
此时记得要将Tweak.x -> Tweak.xm
#import <UIKit/UIKit.h> %hook ALUAccuratePWDView -(void)onNext{ UIView * v1 = MSHookIvar <UIView *>(self,"_loginBox"); UIView * v2 = MSHookIvar <UIView *>(v1,"_passwordInputBox"); UITextField * pwd = MSHookIvar <UITextField *>(v2,"_textField"); NSLog(@"密码是%@",pwd.text); } %end
theos注意点
- theos跟Xcode有关系的,如果多个Xcode,要指定默认Xcode
- xcode-select -p -> 打印默认Xcode路径
- xcode-select --switch (路径) -> 指定Xcode
Reveal Loader
Reveal Loader 安装该插件
1. 链接手机 2. cd /usr/lib/ 3. cd /Library/ 4. 手机安装Reveal Loader插件(来源BigBoss) 5. 设置里面开启Reveal的权限 6. 电脑安装Reveal 1. help -> Show Reveal Library -> ios 7. 链接手机 1. cd /Library/ 2. mkdir RHRevealLoader 8. 电脑端 scp -P 12345 RevealServer root@localhost:/Library/RHRevealLoader/libReveal.dylib 1. scp -r -P 12345 RevealServer.framework root@localhost:/Library/Frameworks/RevealServer.framework -> 低版本的用8的命令就行, -r 是针对文件夹的移动方法 2. rm -rf (文件夹) -> -rf 移出文件夹(包括文件夹里面的文件)
LLDB
发送请求之前, 修改数据
- Xcode -> Debug -> Attach to Process
- 链接手机查看相应的进程 -> ps -A | grep WeChat
- pviews
- view debug 都可以
LLDB原理
1. debugserver 2. 找到相应的手机版本的镜像文件 -> 双击打开 3. 镜像文件 -> usr/bin/debugserver 4. 链接手机 1. cd /usr/bin/ 2. cd /Developer/usr/bin/ 3. ls -> 可以发现手机里面的debugserver 4. md5比较手机里的和我们Xcode里的(手机的可以拷贝出来) 5. scp -P 12345 root@localhost:(pwd路径) ./debugserver 6. md5比较 -> 一毛毛一样样
debugserver
1. 端口映射 python tcprelay.py -t 22:12345 12346:12346 2. 电脑端 lldb -> 进入lldb环境 3. 进入手机环境 cd /Developer/usr/bin/ -> 手机里找到debugserver -> ./debugserver 运行有启动提示 4. 手机环境 ps -A | grep WeChat -> 找到微信进程 5. 手机环境 ./debugserver localhost:12346 -a (进程数字) 6. 电脑端lldb 1. process connect connect://localhost:12346 2. pvc 3. pviews 4. c 5. process interrupt 6. methods 类名
