<summary><strong>Aprende a hackear AWS de cero a héroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
El UDID es una secuencia única de 40 dígitos de letras y números para identificar un dispositivo iOS. Puedes encontrar el UDID de tu dispositivo iOS en macOS Catalina en adelante en la **aplicación Finder**, ya que iTunes ya no está disponible en Catalina. Simplemente selecciona el dispositivo iOS conectado en Finder y **haz clic en la información debajo del nombre del dispositivo iOS** para iterar a través de ella. Además del UDID, puedes encontrar el número de serie, IMEI y otra información útil.
Si estás utilizando una versión de macOS anterior a Catalina, puedes encontrar el [UDID de tu dispositivo iOS a través de iTunes](http://www.iclarified.com/52179/how-to-find-your-iphones-udid), seleccionando tu dispositivo y haciendo clic en "Número de serie" en la pestaña de resumen. Al hacer clic en esto iterarás a través de diferentes metadatos del dispositivo iOS incluyendo su UDID.
Para habilitar el acceso SSH a tu dispositivo iOS puedes instalar el **paquete OpenSSH**. Una vez instalado, puedes acceder a tu dispositivo vía ssh ejecutando `ssh root@<dirección_ip_del_dispositivo>`, lo que te permitirá iniciar sesión como usuario root:
> Recuerda cambiar la contraseña predeterminada para ambos usuarios `root` y `mobile`, ya que cualquiera en la misma red puede encontrar la dirección IP de tu dispositivo y conectarse a través de la conocida contraseña predeterminada, lo que les dará acceso root a tu dispositivo.
Durante una prueba de caja negra real, puede que no haya una conexión Wi-Fi confiable disponible. En esta situación, puedes usar usbmuxd para conectarte al servidor SSH de tu dispositivo a través de USB.
El comando anterior mapea el puerto `22` en el dispositivo iOS al puerto `2222` en localhost. También puedes [hacer que iproxy se ejecute automáticamente en segundo plano](https://iphonedevwiki.net/index.php/SSH\_Over\_USB) si no quieres ejecutar el binario cada vez que quieras usar SSH a través de USB.
> Pequeña nota sobre el USB de un iDevice: en un dispositivo iOS no se pueden realizar conexiones de datos después de 1 hora de estar en estado bloqueado, a menos que lo desbloquees nuevamente debido al Modo Restringido de USB, que se introdujo con iOS 11.4.1
Aunque generalmente usar una **shell en el dispositivo** (emulador de terminal) puede ser muy tedioso en comparación con una shell remota, puede ser útil para depuración en caso de, por ejemplo, problemas de red o para verificar alguna configuración. Por ejemplo, puedes instalar [NewTerm 2](https://repo.chariz.io/package/ws.hbang.newterm2/) a través de Cydia para este propósito (es compatible con iOS 6.0 hasta 12.1.2 en el momento de escribir esto).
Además, hay algunos jailbreaks que explícitamente desactivan el SSH entrante _por razones de seguridad_. En esos casos, es muy conveniente tener una aplicación shell en el dispositivo, que puedes usar para primero realizar un SSH fuera del dispositivo con un shell inverso, y luego conectar desde tu computadora anfitriona a él.
En la aplicación shell en el dispositivo ejecuta el siguiente comando y, cuando se te pida, introduce la contraseña del usuario `mstg` de la computadora anfitriona:
1. Edita el archivo `/private/etc/master.passwd` en tu dispositivo iOS con jailbreak utilizando un **terminal** en el dispositivo o aplicaciones como **Filza** o **iFile**
Como sabemos ahora, los archivos de nuestra aplicación se almacenan en el directorio de Datos. Ahora puedes simplemente archivar el directorio de Datos con `tar` y extraerlo del dispositivo con `scp`:
[**iFunbox**](https://www.i-funbox.com/en/page-download.html) es una aplicación con interfaz gráfica que puede usarse para varias cosas (entre ellas subir y descargar archivos).\
Otra herramienta con interfaz gráfica para este propósito es [**iExplorer**](https://macroplant.com/iexplorer).
A partir de la versión 8.4 de iOS, Apple ha **restringido el acceso de los gestores de terceros al sandbox de las aplicaciones**, por lo que herramientas como iFunbox e iExplorer ya no muestran ni recuperan archivos de las aplicaciones instaladas en el dispositivo si este no está jailbroken.
org.owasp.MSTG on (iPhone: 10.3.3) [usb] # file download .com.apple.mobile_container_manager.metadata.plist
Downloading /var/mobile/Containers/Data/Application/72C7AAFB-1D75-4FBA-9D83-D8B4A2D44133/.com.apple.mobile_container_manager.metadata.plist to .com.apple.mobile_container_manager.metadata.plist
Streaming file from device...
Writing bytes to destination...
Successfully downloaded /var/mobile/Containers/Data/Application/72C7AAFB-1D75-4FBA-9D83-D8B4A2D44133/.com.apple.mobile_container_manager.metadata.plist to .com.apple.mobile_container_manager.metadata.plist
Durante el desarrollo, a veces se proporcionan aplicaciones a los probadores a través de la distribución over-the-air (OTA). En esa situación, recibirás un enlace de itms-services, como el siguiente:
Puedes usar la herramienta [ITMS services asset downloader](https://www.npmjs.com/package/itms-services) para descargar el IPA de una URL de distribución OTA. Instálalo a través de npm:
Si tienes el IPA (probablemente incluyendo un binario de la app ya desencriptado), descomprímelo y estarás listo para continuar. El binario de la app se encuentra en el directorio principal del paquete (.app), por ejemplo, `Payload/Telegram X.app/Telegram X`. Consulta la siguiente subsección para obtener detalles sobre la extracción de las listas de propiedades.
> En el Finder de macOS, los directorios .app se abren haciendo clic derecho y seleccionando "Mostrar contenido del paquete". En la terminal, puedes simplemente usar `cd` para entrar en ellos.
Si no tienes el IPA original, entonces necesitas un dispositivo con jailbreak donde **instalarás la app** (por ejemplo, a través de App Store). Una vez instalada, necesitas **extraer el binario de la app de la memoria y reconstruir el archivo IPA**. Debido a DRM, el archivo binario de la app está encriptado cuando se almacena en el dispositivo iOS, por lo que simplemente extraerlo del Bundle (ya sea a través de SSH u Objection) no será suficiente para ingeniería inversa (lee la siguiente sección).
A diferencia de una Aplicación Android, el binario de una app iOS **solo puede ser desensamblado** y no decompilado.\
Cuando una aplicación se envía a la app store, Apple primero verifica la conducta de la app y antes de lanzarla a la app-store, **Apple encripta el binario usando** [**FairPlay**](https://developer.apple.com/streaming/fps/). Así que el binario descargado de la app store está encriptado complicando las tareas de ingeniería inversa.
Para ejecutar el binario encriptado, el dispositivo necesita desencriptarlo en memoria. Entonces, es posible **volcar el binario desencriptado de la memoria**.
Si está configurado, puedes usar el script [`change_macho_flags.py`](https://chromium.googlesource.com/chromium/src/+/49.0.2623.110/build/mac/change\_mach\_o\_flags.py) para eliminarlo con python2:
Ahora que la bandera PIE no está establecida, el sistema operativo cargará el programa en una **ubicación de inicio fija** cada vez. Para encontrar esta **ubicación** puedes usar:
Con esta información, solo es necesario ejecutar la aplicación en el dispositivo con jailbreak, adjuntarse al proceso con gdb (`gdb -p <pid>`) y volcar la memoria:
¡Felicidades! Has descifrado la sección encriptada en dump.bin. Ahora **transfiere este volcado a tu computadora y sobrescribe la sección encriptada con la descifrada**:
Hay un paso más por completar. La aplicación todavía **indica** en sus metadatos que está **encriptada**, pero **no lo está**. Entonces, al ejecutarse, el dispositivo intentará desencriptar la sección ya desencriptada y fallará.
Sin embargo, puedes usar herramientas como [**MachOView**](https://sourceforge.net/projects/machoview/) para cambiar esta información. Solo abre el binario y establece el **cryptid** en 0:
Puedes usar herramientas como [**frida-ios-dump**](https://github.com/AloneMonkey/frida-ios-dump) para **eliminar automáticamente la encriptación de una app**.
Primero, asegúrate de que la configuración en **Frida-ios-dump**`dump.py` esté establecida en localhost con el puerto 2222 cuando uses **iproxy**, o en la dirección IP real y puerto del dispositivo desde el cual quieres volcar el binario.
Después de esto, se creará el archivo `Telegram.ipa` en tu directorio actual. Puedes validar el éxito del volcado eliminando la aplicación y reinstalándola (por ejemplo, usando [**ios-deploy**](https://github.com/ios-control/ios-deploy) `ios-deploy -b Telegram.ipa`). Ten en cuenta que esto solo funcionará en dispositivos con jailbreak, ya que de lo contrario la firma no será válida.
Para **obtener el archivo ipa** de una aplicación instalada también puedes usar la herramienta [**flexdecrypt**](https://github.com/JohnCoates/flexdecrypt) o un envoltorio de la herramienta llamado [**flexdump**](https://gist.github.com/defparam/71d67ee738341559c35c684d659d40ac)**.**\
En cualquier caso, necesitarás **instalar flexdecrypt en el dispositivo** ejecutando algo como:
[**r2flutch**](https://github.com/as0ler/r2flutch) es una herramienta que utiliza **radare** y **frida** para **descifrar** y **volcar aplicaciones de iOS**.
Cuando instalas una aplicación sin usar la App Store de Apple, esto se llama **sideloading**. Hay varias formas de sideloading que se describen a continuación. En el dispositivo iOS, el proceso de instalación real es manejado por el **daemon installd**, que **desempaquetará** e **instalará** la aplicación. Para integrar servicios de aplicaciones o ser instaladas en un dispositivo iOS, todas las **aplicaciones deben estar firmadas con un certificado emitido por Apple**. Esto significa que la aplicación solo puede ser instalada después de una verificación exitosa de la firma de código. Sin embargo, en un teléfono con jailbreak, puedes **eludir esta característica de seguridad con** [**AppSync**](http://repo.hackyouriphone.org/appsyncunified), un paquete disponible en la tienda Cydia. Contiene numerosas aplicaciones útiles que aprovechan los privilegios de root proporcionados por el jailbreak para ejecutar funcionalidades avanzadas. **AppSync es un tweak que parchea installd**, permitiendo la instalación de paquetes IPA con firma falsa.
> Ten en cuenta que iTunes ya no está disponible en macOS Catalina. Si estás utilizando una versión anterior de macOS, iTunes sigue disponible pero desde iTunes 12.7 no es posible instalar aplicaciones.
[Cydia Impactor](http://www.cydiaimpactor.com) fue originalmente creado para hacer jailbreak a iPhones, pero ha sido reescrito para firmar e instalar paquetes IPA en dispositivos iOS a través de sideloading (e incluso archivos APK en dispositivos Android). Cydia Impactor está disponible para Windows, macOS y Linux. Una [guía paso a paso y pasos para la resolución de problemas están disponibles en yalujailbreak.net](https://yalujailbreak.net/how-to-use-cydia-impactor/).
En Linux y también en macOS, alternativamente puedes usar [libimobiledevice](https://www.libimobiledevice.org), una biblioteca de protocolo de software multiplataforma y un conjunto de herramientas para la comunicación nativa con dispositivos iOS. Esto te permite instalar aplicaciones a través de una conexión USB ejecutando ideviceinstaller. La conexión se implementa con el daemon de multiplexación USB [usbmuxd](https://www.theiphonewiki.com/wiki/Usbmux), que proporciona un túnel TCP sobre USB.
Después de la instalación, tienes varias nuevas herramientas de línea de comandos disponibles, como `ideviceinfo`, `ideviceinstaller` o `idevicedebug`.
# The following command will start the app in debug mode, by providing the bundle name. The bundle name can be found in the previous command after "Installing".
El IPA también puede ser instalado directamente en el dispositivo iOS a través de la línea de comandos con [ipainstaller](https://github.com/autopear/ipainstaller). Después de copiar el archivo en el dispositivo, por ejemplo mediante scp, puedes ejecutar ipainstaller con el nombre del archivo IPA:
En macOS también puedes usar la herramienta **ios-deploy** para instalar aplicaciones de iOS desde la línea de comandos. Necesitarás descomprimir tu IPA ya que ios-deploy utiliza los paquetes de aplicaciones para instalar aplicaciones.
Después de que la app esté instalada en el dispositivo iOS, puedes simplemente iniciarla añadiendo la bandera `-m` la cual iniciará directamente la depuración sin instalar la app de nuevo.
A veces, una aplicación puede requerir ser utilizada en un dispositivo iPad. Si solo tienes dispositivos iPhone o iPod touch, entonces puedes forzar a la aplicación a aceptar ser instalada y utilizada en estos tipos de dispositivos. Puedes hacer esto cambiando el valor de la propiedad **UIDeviceFamily** al valor **1** en el archivo **Info.plist**.
Es importante señalar que cambiar este valor romperá la firma original del archivo IPA, por lo que necesitarás volver a firmar el IPA, después de la actualización, para poder instalarlo en un dispositivo en el que no se haya desactivado la validación de la firma.
Este bypass podría no funcionar si la aplicación requiere capacidades específicas de iPads modernos mientras que tu iPhone o iPod es un poco más antiguo.
Los posibles valores para la propiedad [UIDeviceFamily](https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Articles/iPhoneOSKeys.html#//apple_ref/doc/uid/TP40009252-SW11) se pueden encontrar en la documentación de Apple Developer.
<summary><strong>Aprende hacking en AWS de cero a héroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
