hacktricks/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md

# Configuração do Frida no iOS

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
{% endhint %}

<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>

Aprofunde sua experiência em **Segurança Móvel** com a 8kSec Academy. Domine a segurança do iOS e Android através de nossos cursos autônomos e obtenha certificação:

{% embed url="https://academy.8ksec.io/" %}

## Instalando o Frida

**Passos para instalar o Frida em um dispositivo Jailbroken:**

1. Abra o aplicativo Cydia/Sileo.
2. Navegue até Gerenciar -> Fontes -> Editar -> Adicionar.
3. Insira "https://build.frida.re" como a URL.
4. Vá para a nova fonte do Frida adicionada.
5. Instale o pacote do Frida.

Se você estiver usando **Corellium**, precisará baixar a versão do Frida em [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[sua versão]-ios-universal.dylib.gz`) e descompactar e copiar para o local dylib que o Frida solicita, por exemplo: `/Users/[seu usuário]/.cache/frida/gadget-ios.dylib`

Após a instalação, você pode usar no seu PC o comando **`frida-ls-devices`** e verificar se o dispositivo aparece (seu PC precisa ser capaz de acessá-lo).\
Execute também **`frida-ps -Uia`** para verificar os processos em execução do telefone.

## Frida sem dispositivo Jailbroken e sem patching do aplicativo

Confira este post no blog sobre como usar o Frida em dispositivos não jailbroken sem patching do aplicativo: [https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)

## Instalação do Cliente Frida

Instale **ferramentas frida**:
```bash
pip install frida-tools
pip install frida
```
Com o servidor Frida instalado e o dispositivo em execução e conectado, **verifique** se o cliente está **funcionando**:
```bash
frida-ls-devices  # List devices
frida-ps -Uia     # Get running processes
```
## Frida Trace
```bash
# Functions
## Trace all functions with the word "log" in their name
frida-trace -U <program> -i "*log*"
frida-trace -U <program> -i "*log*" | swift demangle # Demangle names

# Objective-C
## Trace all methods of all classes
frida-trace -U <program> -m "*[* *]"

## Trace all methods with the word "authentication" from classes that start with "NE"
frida-trace -U <program> -m "*[NE* *authentication*]"

# Plug-In
## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binary
frida-trace -U -W <if-plugin-bin> -m '*[* *]'
```
### Obter todas as classes e métodos

* Auto completar: Basta executar `frida -U <program>`

<figure><img src="../../.gitbook/assets/image (1159).png" alt=""><figcaption></figcaption></figure>

* Obter **todas** as **classes** disponíveis (filtrar por string)

{% code title="/tmp/script.js" %}
```javascript
// frida -U <program> -l /tmp/script.js

var filterClass = "filterstring";

if (ObjC.available) {
for (var className in ObjC.classes) {
if (ObjC.classes.hasOwnProperty(className)) {
if (!filterClass || className.includes(filterClass)) {
console.log(className);
}
}
}
} else {
console.log("Objective-C runtime is not available.");
}
```
{% endcode %}

* Obter **todos** os **métodos** de uma **classe** (filtrar por string)

{% code title="/tmp/script.js" %}
```javascript
// frida -U <program> -l /tmp/script.js

var specificClass = "YourClassName";
var filterMethod = "filtermethod";

if (ObjC.available) {
if (ObjC.classes.hasOwnProperty(specificClass)) {
var methods = ObjC.classes[specificClass].$ownMethods;
for (var i = 0; i < methods.length; i++) {
if (!filterMethod || methods[i].includes(filterClass)) {
console.log(specificClass + ': ' + methods[i]);
}
}
} else {
console.log("Class not found.");
}
} else {
console.log("Objective-C runtime is not available.");
}
```
{% endcode %}

* **Chamar uma função**
```javascript
// Find the address of the function to call
const func_addr = Module.findExportByName("<Prog Name>", "<Func Name>");
// Declare the function to call
const func = new NativeFunction(
func_addr,
"void", ["pointer", "pointer", "pointer"], {
});

var arg0 = null;

// In this case to call this function we need to intercept a call to it to copy arg0
Interceptor.attach(wg_log_addr, {
onEnter: function(args) {
arg0 = new NativePointer(args[0]);
}
});

// Wait untill a call to the func occurs
while (! arg0) {
Thread.sleep(1);
console.log("waiting for ptr");
}


var arg1 = Memory.allocUtf8String('arg1');
var txt = Memory.allocUtf8String('Some text for arg2');
wg_log(arg0, arg1, txt);

console.log("loaded");
```
## Frida Fuzzing

### Frida Stalker

[Da documentação](https://frida.re/docs/stalker/): Stalker é o **motor de rastreamento** do Frida. Ele permite que threads sejam **seguidas**, **capturando** cada função, **cada bloco**, até mesmo cada instrução que é executada.

Você tem um exemplo implementando o Frida Stalker em [https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)

Este é outro exemplo para anexar o Frida Stalker toda vez que uma função é chamada:
```javascript
console.log("loading");
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>");
const wg_log = new NativeFunction(
wg_log_addr,
"void", ["pointer", "pointer", "pointer"], {
});

Interceptor.attach(wg_log_addr, {
onEnter: function(args) {
console.log(`logging the following message: ${args[2].readCString()}`);

Stalker.follow({
events: {
// only collect coverage for newly encountered blocks
compile: true,
},
onReceive: function (events) {
const bbs = Stalker.parse(events, {
stringify: false,
annotate: false
});
console.log("Stalker trace of write_msg_to_log: \n" + bbs.flat().map(DebugSymbol.fromAddress).join('\n'));
}
});
},
onLeave: function(retval) {
Stalker.unfollow();
Stalker.flush();  // this is important to get all events
}
});
```
{% hint style="danger" %}
Isso é interessante para fins de depuração, mas para fuzzing, estar constantemente **`.follow()`** e **`.unfollow()`** é muito ineficiente.
{% endhint %}

## [Fpicker](https://github.com/ttdennis/fpicker)

[**fpicker**](https://github.com/ttdennis/fpicker) é um **conjunto de ferramentas de fuzzing baseado em Frida** que oferece uma variedade de modos de fuzzing para fuzzing em processo, como um modo AFL++ ou um modo de rastreamento passivo. Deve funcionar em todas as plataformas suportadas pelo Frida.

* [**Instalar fpicker**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
```bash
# Get fpicker
git clone https://github.com/ttdennis/fpicker
cd fpicker

# Get Frida core devkit and prepare fpicker
wget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xz
tar -xf ./*tar.xz
cp libfrida-core.a libfrida-core-[yourOS].a #libfrida-core-macos.a

# Install fpicker
make fpicker-[yourOS] # fpicker-macos
# This generates ./fpicker

# Install radamsa (fuzzer generator)
brew install radamsa
```
* **Preparar o FS:**
```bash
# From inside fpicker clone
mkdir -p examples/wg-log # Where the fuzzing script will be
mkdir -p examples/wg-log/out # For code coverage and crashes
mkdir -p examples/wg-log/in # For starting inputs

# Create at least 1 input for the fuzzer
echo Hello World > examples/wg-log/in/0
```
* **Script de Fuzzer** (`examples/wg-log/myfuzzer.js`):

{% code title="examples/wg-log/myfuzzer.js" %}
```javascript
// Import the fuzzer base class
import { Fuzzer } from "../../harness/fuzzer.js";

class WGLogFuzzer extends Fuzzer {

constructor() {
console.log("WGLogFuzzer constructor called")

// Get and declare the function we are going to fuzz
var wg_log_addr = Module.findExportByName("<Program name>", "<func name to fuzz>");
var wg_log_func = new NativeFunction(
wg_log_addr,
"void", ["pointer", "pointer", "pointer"], {
});

// Initialize the object
super("<Program nane>", wg_log_addr, wg_log_func);
this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"

console.log("WGLogFuzzer in the middle");

// Prepare the second argument to pass to the fuzz function
this.tag = Memory.allocUtf8String("arg2");

// Get the first argument we need to pass from a call to the functino we want to fuzz
var wg_log_global_ptr = null;
console.log(this.wg_log_addr);
Interceptor.attach(this.wg_log_addr, {
onEnter: function(args) {
console.log("Entering in the function to get the first argument");
wg_log_global_ptr = new NativePointer(args[0]);
}
});

while (! wg_log_global_ptr) {
Thread.sleep(1)
}
this.wg_log_global_ptr = wg_log_global_ptr;
console.log("WGLogFuzzer prepare ended")
}


// This function is called by the fuzzer with the first argument being a pointer into memory
// where the payload is stored and the second the length of the input.
fuzz(payload, len) {
// Get a pointer to payload being a valid C string (with a null byte at the end)
var payload_cstring = payload.readCString(len);
this.payload = Memory.allocUtf8String(payload_cstring);

// Debug and fuzz
this.debug_log(this.payload, len);
// Pass the 2 first arguments we know the function needs and finally the payload to fuzz
this.target_function(this.wg_log_global_ptr, this.tag, this.payload);
}
}

const f = new WGLogFuzzer();
rpc.exports.fuzzer = f;
```
{% endcode %}

* **Compile** o fuzzer:
```bash
# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
frida-compile examples/wg-log/myfuzzer.js -o harness.js
```
* Chame o fuzzer **`fpicker`** usando **`radamsa`**:

{% code overflow="wrap" %}
```bash
# Indicate fpicker to fuzz a program with the harness.js script and which folders to use
fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/
```
{% endcode %}

{% hint style="danger" %}
Neste caso, **não estamos reiniciando o aplicativo ou restaurando o estado** após cada payload. Portanto, se o Frida encontrar um **crash**, as **próximas entradas** após esse payload também podem **crashar o aplicativo** (porque o aplicativo está em um estado instável), mesmo que a **entrada não devesse crashar** o aplicativo.

Além disso, o Frida irá interceptar sinais de exceção do iOS, então quando **o Frida encontrar um crash**, provavelmente **relatórios de crash do iOS não serão gerados**.

Para evitar isso, por exemplo, poderíamos reiniciar o aplicativo após cada crash do Frida.
{% endhint %}

### Logs & Crashes

Você pode verificar o **console do macOS** ou o **`log`** cli para checar os logs do macOS.\
Você também pode verificar os logs do iOS usando **`idevicesyslog`**.\
Alguns logs omitem informações adicionando **`<private>`**. Para mostrar todas as informações, você precisa instalar algum perfil de [https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/) para habilitar essas informações privadas.

Se você não souber o que fazer:
```sh
vim /Library/Preferences/Logging/com.apple.system.logging.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Enable-Private-Data</key>
<true/>
</dict>
</plist>

killall -9 logd
```
Você pode verificar os crashes em:

* **iOS**
* Configurações → Privacidade → Análises e Melhorias → Dados de Análise
* `/private/var/mobile/Library/Logs/CrashReporter/`
* **macOS**:
* `/Library/Logs/DiagnosticReports/`
* `~/Library/Logs/DiagnosticReports`

{% hint style="warning" %}
O iOS armazena apenas 25 crashes do mesmo aplicativo, então você precisa limpar isso ou o iOS parará de criar crashes.
{% endhint %}

## Frida Android Tutorials

{% content-ref url="../android-app-pentesting/frida-tutorial/" %}
[frida-tutorial](../android-app-pentesting/frida-tutorial/)
{% endcontent-ref %}

## Referências

* [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)


<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>

Aprofunde sua experiência em **Mobile Security** com a 8kSec Academy. Domine a segurança de iOS e Android através de nossos cursos autônomos e obtenha certificação:

{% embed url="https://academy.8ksec.io/" %}

{% hint style="success" %}
Aprenda e pratique AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
{% endhint %}
Recreating repository history for branch pt 2024-12-12 12:56:11 +00:00			`# Configuração do Frida no iOS`

			`{% hint style="success" %}`
			`Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

			`<details>`

Translated ['linux-hardening/privilege-escalation/docker-security/README 2024-12-14 19:13:28 +00:00			`<summary>Support HackTricks</summary>`
Recreating repository history for branch pt 2024-12-12 12:56:11 +00:00
			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para o [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`

			`</details>`
			`{% endhint %}`

			`<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>`

			`Aprofunde sua experiência em Segurança Móvel com a 8kSec Academy. Domine a segurança do iOS e Android através de nossos cursos autônomos e obtenha certificação:`

			`{% embed url="https://academy.8ksec.io/" %}`

			`## Instalando o Frida`

			`Passos para instalar o Frida em um dispositivo Jailbroken:`

			`1. Abra o aplicativo Cydia/Sileo.`
			`2. Navegue até Gerenciar -> Fontes -> Editar -> Adicionar.`
			`3. Insira "https://build.frida.re" como a URL.`
			`4. Vá para a nova fonte do Frida adicionada.`
			`5. Instale o pacote do Frida.`

			Se você estiver usando Corellium, precisará baixar a versão do Frida em [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[sua versão]-ios-universal.dylib.gz`) e descompactar e copiar para o local dylib que o Frida solicita, por exemplo: `/Users/[seu usuário]/.cache/frida/gadget-ios.dylib`

			Após a instalação, você pode usar no seu PC o comando `frida-ls-devices` e verificar se o dispositivo aparece (seu PC precisa ser capaz de acessá-lo).\
			Execute também `frida-ps -Uia` para verificar os processos em execução do telefone.

			`## Frida sem dispositivo Jailbroken e sem patching do aplicativo`

			`Confira este post no blog sobre como usar o Frida em dispositivos não jailbroken sem patching do aplicativo: [https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)`

			`## Instalação do Cliente Frida`

			`Instale ferramentas frida:`
			```bash
			`pip install frida-tools`
			`pip install frida`
			```
			`Com o servidor Frida instalado e o dispositivo em execução e conectado, verifique se o cliente está funcionando:`
			```bash
			`frida-ls-devices # List devices`
			`frida-ps -Uia # Get running processes`
			```
			`## Frida Trace`
			```bash
			`# Functions`
			`## Trace all functions with the word "log" in their name`
			`frida-trace -U <program> -i "log"`
			`frida-trace -U <program> -i "log" \| swift demangle # Demangle names`

			`# Objective-C`
			`## Trace all methods of all classes`
			`frida-trace -U <program> -m "[ *]"`

			`## Trace all methods with the word "authentication" from classes that start with "NE"`
			`frida-trace -U <program> -m "[NE authentication]"`

			`# Plug-In`
			`## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binary`
			`frida-trace -U -W <if-plugin-bin> -m '[ *]'`
			```
			`### Obter todas as classes e métodos`

			* Auto completar: Basta executar `frida -U <program>`

			`<figure><img src="../../.gitbook/assets/image (1159).png" alt=""><figcaption></figcaption></figure>`

			`* Obter todas as classes disponíveis (filtrar por string)`

			`{% code title="/tmp/script.js" %}`
			```javascript
			`// frida -U <program> -l /tmp/script.js`

			`var filterClass = "filterstring";`

			`if (ObjC.available) {`
			`for (var className in ObjC.classes) {`
			`if (ObjC.classes.hasOwnProperty(className)) {`
			`if (!filterClass \|\| className.includes(filterClass)) {`
			`console.log(className);`
			`}`
			`}`
			`}`
			`} else {`
			`console.log("Objective-C runtime is not available.");`
			`}`
			```
			`{% endcode %}`

			`* Obter todos os métodos de uma classe (filtrar por string)`

			`{% code title="/tmp/script.js" %}`
			```javascript
			`// frida -U <program> -l /tmp/script.js`

			`var specificClass = "YourClassName";`
			`var filterMethod = "filtermethod";`

			`if (ObjC.available) {`
			`if (ObjC.classes.hasOwnProperty(specificClass)) {`
			`var methods = ObjC.classes[specificClass].$ownMethods;`
			`for (var i = 0; i < methods.length; i++) {`
			`if (!filterMethod \|\| methods[i].includes(filterClass)) {`
			`console.log(specificClass + ': ' + methods[i]);`
			`}`
			`}`
			`} else {`
			`console.log("Class not found.");`
			`}`
			`} else {`
			`console.log("Objective-C runtime is not available.");`
			`}`
			```
			`{% endcode %}`

			`* Chamar uma função`
			```javascript
			`// Find the address of the function to call`
			`const func_addr = Module.findExportByName("<Prog Name>", "<Func Name>");`
			`// Declare the function to call`
			`const func = new NativeFunction(`
			`func_addr,`
			`"void", ["pointer", "pointer", "pointer"], {`
			`});`

			`var arg0 = null;`

			`// In this case to call this function we need to intercept a call to it to copy arg0`
			`Interceptor.attach(wg_log_addr, {`
			`onEnter: function(args) {`
			`arg0 = new NativePointer(args[0]);`
			`}`
			`});`

			`// Wait untill a call to the func occurs`
			`while (! arg0) {`
			`Thread.sleep(1);`
			`console.log("waiting for ptr");`
			`}`


			`var arg1 = Memory.allocUtf8String('arg1');`
			`var txt = Memory.allocUtf8String('Some text for arg2');`
			`wg_log(arg0, arg1, txt);`

			`console.log("loaded");`
			```
			`## Frida Fuzzing`

			`### Frida Stalker`

			`[Da documentação](https://frida.re/docs/stalker/): Stalker é o motor de rastreamento do Frida. Ele permite que threads sejam seguidas, capturando cada função, cada bloco, até mesmo cada instrução que é executada.`

			`Você tem um exemplo implementando o Frida Stalker em [https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)`

			`Este é outro exemplo para anexar o Frida Stalker toda vez que uma função é chamada:`
			```javascript
			`console.log("loading");`
			`const wg_log_addr = Module.findExportByName("<Program>", "<function_name>");`
			`const wg_log = new NativeFunction(`
			`wg_log_addr,`
			`"void", ["pointer", "pointer", "pointer"], {`
			`});`

			`Interceptor.attach(wg_log_addr, {`
			`onEnter: function(args) {`
			console.log(`logging the following message: ${args[2].readCString()}`);

			`Stalker.follow({`
			`events: {`
			`// only collect coverage for newly encountered blocks`
			`compile: true,`
			`},`
			`onReceive: function (events) {`
			`const bbs = Stalker.parse(events, {`
			`stringify: false,`
			`annotate: false`
			`});`
			`console.log("Stalker trace of write_msg_to_log: \n" + bbs.flat().map(DebugSymbol.fromAddress).join('\n'));`
			`}`
			`});`
			`},`
			`onLeave: function(retval) {`
			`Stalker.unfollow();`
			`Stalker.flush(); // this is important to get all events`
			`}`
			`});`
			```
			`{% hint style="danger" %}`
			Isso é interessante para fins de depuração, mas para fuzzing, estar constantemente `.follow()` e `.unfollow()` é muito ineficiente.
			`{% endhint %}`

			`## [Fpicker](https://github.com/ttdennis/fpicker)`

			`[fpicker](https://github.com/ttdennis/fpicker) é um conjunto de ferramentas de fuzzing baseado em Frida que oferece uma variedade de modos de fuzzing para fuzzing em processo, como um modo AFL++ ou um modo de rastreamento passivo. Deve funcionar em todas as plataformas suportadas pelo Frida.`

			`* [Instalar fpicker](https://github.com/ttdennis/fpicker#requirements-and-installation) & radamsa`
			```bash
			`# Get fpicker`
			`git clone https://github.com/ttdennis/fpicker`
			`cd fpicker`

			`# Get Frida core devkit and prepare fpicker`
			`wget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz`
			`# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xz`
			`tar -xf ./*tar.xz`
			`cp libfrida-core.a libfrida-core-[yourOS].a #libfrida-core-macos.a`

			`# Install fpicker`
			`make fpicker-[yourOS] # fpicker-macos`
			`# This generates ./fpicker`

			`# Install radamsa (fuzzer generator)`
			`brew install radamsa`
			```
			`* Preparar o FS:`
			```bash
			`# From inside fpicker clone`
			`mkdir -p examples/wg-log # Where the fuzzing script will be`
			`mkdir -p examples/wg-log/out # For code coverage and crashes`
			`mkdir -p examples/wg-log/in # For starting inputs`

			`# Create at least 1 input for the fuzzer`
			`echo Hello World > examples/wg-log/in/0`
			```
			* Script de Fuzzer (`examples/wg-log/myfuzzer.js`):

			`{% code title="examples/wg-log/myfuzzer.js" %}`
			```javascript
			`// Import the fuzzer base class`
			`import { Fuzzer } from "../../harness/fuzzer.js";`

			`class WGLogFuzzer extends Fuzzer {`

			`constructor() {`
			`console.log("WGLogFuzzer constructor called")`

			`// Get and declare the function we are going to fuzz`
			`var wg_log_addr = Module.findExportByName("<Program name>", "<func name to fuzz>");`
			`var wg_log_func = new NativeFunction(`
			`wg_log_addr,`
			`"void", ["pointer", "pointer", "pointer"], {`
			`});`

			`// Initialize the object`
			`super("<Program nane>", wg_log_addr, wg_log_func);`
			`this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"`

			`console.log("WGLogFuzzer in the middle");`

			`// Prepare the second argument to pass to the fuzz function`
			`this.tag = Memory.allocUtf8String("arg2");`

			`// Get the first argument we need to pass from a call to the functino we want to fuzz`
			`var wg_log_global_ptr = null;`
			`console.log(this.wg_log_addr);`
			`Interceptor.attach(this.wg_log_addr, {`
			`onEnter: function(args) {`
			`console.log("Entering in the function to get the first argument");`
			`wg_log_global_ptr = new NativePointer(args[0]);`
			`}`
			`});`

			`while (! wg_log_global_ptr) {`
			`Thread.sleep(1)`
			`}`
			`this.wg_log_global_ptr = wg_log_global_ptr;`
			`console.log("WGLogFuzzer prepare ended")`
			`}`


			`// This function is called by the fuzzer with the first argument being a pointer into memory`
			`// where the payload is stored and the second the length of the input.`
			`fuzz(payload, len) {`
			`// Get a pointer to payload being a valid C string (with a null byte at the end)`
			`var payload_cstring = payload.readCString(len);`
			`this.payload = Memory.allocUtf8String(payload_cstring);`

			`// Debug and fuzz`
			`this.debug_log(this.payload, len);`
			`// Pass the 2 first arguments we know the function needs and finally the payload to fuzz`
			`this.target_function(this.wg_log_global_ptr, this.tag, this.payload);`
			`}`
			`}`

			`const f = new WGLogFuzzer();`
			`rpc.exports.fuzzer = f;`
			```
			`{% endcode %}`

			`* Compile o fuzzer:`
			```bash
			`# From inside fpicker clone`
			`## Compile from "myfuzzer.js" to "harness.js"`
			`frida-compile examples/wg-log/myfuzzer.js -o harness.js`
			```
			* Chame o fuzzer `fpicker` usando `radamsa`:

			`{% code overflow="wrap" %}`
			```bash
			`# Indicate fpicker to fuzz a program with the harness.js script and which folders to use`
			`fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"`
			`# You can find code coverage and crashes in examples/wg-log/out/`
			```
			`{% endcode %}`

			`{% hint style="danger" %}`
			`Neste caso, não estamos reiniciando o aplicativo ou restaurando o estado após cada payload. Portanto, se o Frida encontrar um crash, as próximas entradas após esse payload também podem crashar o aplicativo (porque o aplicativo está em um estado instável), mesmo que a entrada não devesse crashar o aplicativo.`

			`Além disso, o Frida irá interceptar sinais de exceção do iOS, então quando o Frida encontrar um crash, provavelmente relatórios de crash do iOS não serão gerados.`

			`Para evitar isso, por exemplo, poderíamos reiniciar o aplicativo após cada crash do Frida.`
			`{% endhint %}`

			`### Logs & Crashes`

			Você pode verificar o console do macOS ou o `log` cli para checar os logs do macOS.\
			Você também pode verificar os logs do iOS usando `idevicesyslog`.\
			Alguns logs omitem informações adicionando `<private>`. Para mostrar todas as informações, você precisa instalar algum perfil de [https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/) para habilitar essas informações privadas.

			`Se você não souber o que fazer:`
			```sh
			`vim /Library/Preferences/Logging/com.apple.system.logging.plist`
			`<?xml version="1.0" encoding="UTF-8"?>`
			`<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">`
			`<plist version="1.0">`
			`<dict>`
			`<key>Enable-Private-Data</key>`
			`<true/>`
			`</dict>`
			`</plist>`

			`killall -9 logd`
			```
			`Você pode verificar os crashes em:`

			`* iOS`
			`* Configurações → Privacidade → Análises e Melhorias → Dados de Análise`
			* `/private/var/mobile/Library/Logs/CrashReporter/`
			`* macOS:`
			* `/Library/Logs/DiagnosticReports/`
			* `~/Library/Logs/DiagnosticReports`

			`{% hint style="warning" %}`
			`O iOS armazena apenas 25 crashes do mesmo aplicativo, então você precisa limpar isso ou o iOS parará de criar crashes.`
			`{% endhint %}`

			`## Frida Android Tutorials`

			`{% content-ref url="../android-app-pentesting/frida-tutorial/" %}`
			`[frida-tutorial](../android-app-pentesting/frida-tutorial/)`
			`{% endcontent-ref %}`

Translated ['linux-hardening/privilege-escalation/docker-security/README 2024-12-14 19:13:28 +00:00			`## Referências`
Recreating repository history for branch pt 2024-12-12 12:56:11 +00:00
			`* [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)`


			`<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>`

			`Aprofunde sua experiência em Mobile Security com a 8kSec Academy. Domine a segurança de iOS e Android através de nossos cursos autônomos e obtenha certificação:`

			`{% embed url="https://academy.8ksec.io/" %}`

			`{% hint style="success" %}`
			`Aprenda e pratique AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

			`<details>`

			`<summary>Support HackTricks</summary>`

			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para os repositórios do [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`
			`{% endhint %}`