mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-30 06:53:11 +00:00
373 lines
14 KiB
Markdown
373 lines
14 KiB
Markdown
# Configuração do Frida no iOS
|
|
|
|
<details>
|
|
|
|
<summary><strong>Aprenda hacking AWS do zero ao avançado com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Outras formas de apoiar o HackTricks:
|
|
|
|
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
|
|
|
</details>
|
|
|
|
## Instalando o Frida
|
|
|
|
**Passos para instalar o Frida em um dispositivo com Jailbreak:**
|
|
|
|
1. Abra o aplicativo Cydia/Sileo.
|
|
2. Navegue até Gerenciar -> Fontes -> Editar -> Adicionar.
|
|
3. Insira "https://build.frida.re" como URL.
|
|
4. Vá para a nova fonte do Frida adicionada.
|
|
5. Instale o pacote Frida.
|
|
|
|
Se você estiver usando **Corellium**, precisará baixar o lançamento do Frida em [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[sua versão]-ios-universal.dylib.gz`) e descompactar e copiar para a localização dylib solicitada pelo Frida, por exemplo: `/Users/[seu usuário]/.cache/frida/gadget-ios.dylib`
|
|
|
|
Após instalado, você pode usar o comando **`frida-ls-devices`** em seu PC e verificar se o dispositivo aparece (seu PC precisa ter acesso a ele).\
|
|
Execute também **`frida-ps -Uia`** para verificar os processos em execução no telefone.
|
|
|
|
## Frida sem dispositivo com Jailbreak e sem patchear o aplicativo
|
|
|
|
Confira este post no blog sobre como usar o Frida em dispositivos não-jailbroken sem patchear o aplicativo: [https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)
|
|
|
|
## Instalação do Cliente Frida
|
|
|
|
Instale as **ferramentas do frida**:
|
|
```bash
|
|
pip install frida-tools
|
|
pip install frida
|
|
```
|
|
Com o servidor Frida instalado e o dispositivo em execução e conectado, **verifique** se o cliente está **funcionando**:
|
|
```bash
|
|
frida-ls-devices # List devices
|
|
frida-ps -Uia # Get running processes
|
|
```
|
|
## Rastreamento Frida
|
|
```bash
|
|
# Functions
|
|
## Trace all functions with the word "log" in their name
|
|
frida-trace -U <program> -i "*log*"
|
|
frida-trace -U <program> -i "*log*" | swift demangle # Demangle names
|
|
|
|
# Objective-C
|
|
## Trace all methods of all classes
|
|
frida-trace -U <program> -m "*[* *]"
|
|
|
|
## Trace all methods with the word "authentication" from classes that start with "NE"
|
|
frida-trace -U <program> -m "*[NE* *authentication*]"
|
|
|
|
# Plug-In
|
|
## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binary
|
|
frida-trace -U -W <if-plugin-bin> -m '*[* *]'
|
|
```
|
|
### Obter todas as classes e métodos
|
|
|
|
* Autocompletar: Basta executar `frida -U <programa>`
|
|
|
|
<figure><img src="../../.gitbook/assets/image (687).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
* Obter **todas** as **classes** disponíveis (filtrar por string)
|
|
|
|
{% code title="/tmp/script.js" %}
|
|
```javascript
|
|
// frida -U <program> -l /tmp/script.js
|
|
|
|
var filterClass = "filterstring";
|
|
|
|
if (ObjC.available) {
|
|
for (var className in ObjC.classes) {
|
|
if (ObjC.classes.hasOwnProperty(className)) {
|
|
if (!filterClass || className.includes(filterClass)) {
|
|
console.log(className);
|
|
}
|
|
}
|
|
}
|
|
} else {
|
|
console.log("Objective-C runtime is not available.");
|
|
}
|
|
```
|
|
{% endcode %}
|
|
|
|
* Obter **todos** os **métodos** de uma **classe** (filtrar por string)
|
|
|
|
{% code title="/tmp/script.js" %}
|
|
```javascript
|
|
// frida -U <program> -l /tmp/script.js
|
|
|
|
var specificClass = "YourClassName";
|
|
var filterMethod = "filtermethod";
|
|
|
|
if (ObjC.available) {
|
|
if (ObjC.classes.hasOwnProperty(specificClass)) {
|
|
var methods = ObjC.classes[specificClass].$ownMethods;
|
|
for (var i = 0; i < methods.length; i++) {
|
|
if (!filterMethod || methods[i].includes(filterClass)) {
|
|
console.log(specificClass + ': ' + methods[i]);
|
|
}
|
|
}
|
|
} else {
|
|
console.log("Class not found.");
|
|
}
|
|
} else {
|
|
console.log("Objective-C runtime is not available.");
|
|
}
|
|
```
|
|
{% endcode %}
|
|
|
|
* **Chamar uma função**
|
|
```javascript
|
|
// Find the address of the function to call
|
|
const func_addr = Module.findExportByName("<Prog Name>", "<Func Name>");
|
|
// Declare the function to call
|
|
const func = new NativeFunction(
|
|
func_addr,
|
|
"void", ["pointer", "pointer", "pointer"], {
|
|
});
|
|
|
|
var arg0 = null;
|
|
|
|
// In this case to call this function we need to intercept a call to it to copy arg0
|
|
Interceptor.attach(wg_log_addr, {
|
|
onEnter: function(args) {
|
|
arg0 = new NativePointer(args[0]);
|
|
}
|
|
});
|
|
|
|
// Wait untill a call to the func occurs
|
|
while (! arg0) {
|
|
Thread.sleep(1);
|
|
console.log("waiting for ptr");
|
|
}
|
|
|
|
|
|
var arg1 = Memory.allocUtf8String('arg1');
|
|
var txt = Memory.allocUtf8String('Some text for arg2');
|
|
wg_log(arg0, arg1, txt);
|
|
|
|
console.log("loaded");
|
|
```
|
|
## Frida Fuzzing
|
|
|
|
### Frida Stalker
|
|
|
|
[A partir da documentação](https://frida.re/docs/stalker/#:~:text=Stalker%20is%20Frida's%20code%20tracing,every%20instruction%20which%20is%20executed.): Stalker é o **motor de rastreamento** de código do Frida. Ele permite que threads sejam **seguidas**, **capturando** cada função, **cada bloco**, até mesmo cada instrução que é executada.
|
|
|
|
Você tem um exemplo implementando o Frida Stalker em [https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)
|
|
|
|
Este é outro exemplo para anexar o Frida Stalker toda vez que uma função é chamada:
|
|
```javascript
|
|
console.log("loading");
|
|
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>");
|
|
const wg_log = new NativeFunction(
|
|
wg_log_addr,
|
|
"void", ["pointer", "pointer", "pointer"], {
|
|
});
|
|
|
|
Interceptor.attach(wg_log_addr, {
|
|
onEnter: function(args) {
|
|
console.log(`logging the following message: ${args[2].readCString()}`);
|
|
|
|
Stalker.follow({
|
|
events: {
|
|
// only collect coverage for newly encountered blocks
|
|
compile: true,
|
|
},
|
|
onReceive: function (events) {
|
|
const bbs = Stalker.parse(events, {
|
|
stringify: false,
|
|
annotate: false
|
|
});
|
|
console.log("Stalker trace of write_msg_to_log: \n" + bbs.flat().map(DebugSymbol.fromAddress).join('\n'));
|
|
}
|
|
});
|
|
},
|
|
onLeave: function(retval) {
|
|
Stalker.unfollow();
|
|
Stalker.flush(); // this is important to get all events
|
|
}
|
|
});
|
|
```
|
|
{% hint style="danger" %}
|
|
Isso é interessante para fins de depuração, mas para fuzzing, estar constantemente **`.follow()`** e **`.unfollow()`** é muito ineficiente.
|
|
{% endhint %}
|
|
|
|
## [Fpicker](https://github.com/ttdennis/fpicker)
|
|
|
|
[**fpicker**](https://github.com/ttdennis/fpicker) é uma **suite de fuzzing baseada em Frida** que oferece uma variedade de modos de fuzzing para fuzzing em processo, como um modo AFL++ ou um modo de rastreamento passivo. Deve ser executado em todas as plataformas suportadas pelo Frida.
|
|
|
|
* [**Instalar fpicker**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
|
|
```bash
|
|
# Get fpicker
|
|
git clone https://github.com/ttdennis/fpicker
|
|
cd fpicker
|
|
|
|
# Get Frida core devkit and prepare fpicker
|
|
wget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
|
|
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xz
|
|
tar -xf ./*tar.xz
|
|
cp libfrida-core.a libfrida-core-[yourOS].a #libfrida-core-macos.a
|
|
|
|
# Install fpicker
|
|
make fpicker-[yourOS] # fpicker-macos
|
|
# This generates ./fpicker
|
|
|
|
# Install radamsa (fuzzer generator)
|
|
brew install radamsa
|
|
```
|
|
* **Preparar o FS:**
|
|
```bash
|
|
# From inside fpicker clone
|
|
mkdir -p examples/wg-log # Where the fuzzing script will be
|
|
mkdir -p examples/wg-log/out # For code coverage and crashes
|
|
mkdir -p examples/wg-log/in # For starting inputs
|
|
|
|
# Create at least 1 input for the fuzzer
|
|
echo Hello World > examples/wg-log/in/0
|
|
```
|
|
* **Script Fuzzer** (`examples/wg-log/myfuzzer.js`):
|
|
|
|
{% code title="examples/wg-log/myfuzzer.js" %}
|
|
```javascript
|
|
// Import the fuzzer base class
|
|
import { Fuzzer } from "../../harness/fuzzer.js";
|
|
|
|
class WGLogFuzzer extends Fuzzer {
|
|
|
|
constructor() {
|
|
console.log("WGLogFuzzer constructor called")
|
|
|
|
// Get and declare the function we are going to fuzz
|
|
var wg_log_addr = Module.findExportByName("<Program name>", "<func name to fuzz>");
|
|
var wg_log_func = new NativeFunction(
|
|
wg_log_addr,
|
|
"void", ["pointer", "pointer", "pointer"], {
|
|
});
|
|
|
|
// Initialize the object
|
|
super("<Program nane>", wg_log_addr, wg_log_func);
|
|
this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"
|
|
|
|
console.log("WGLogFuzzer in the middle");
|
|
|
|
// Prepare the second argument to pass to the fuzz function
|
|
this.tag = Memory.allocUtf8String("arg2");
|
|
|
|
// Get the first argument we need to pass from a call to the functino we want to fuzz
|
|
var wg_log_global_ptr = null;
|
|
console.log(this.wg_log_addr);
|
|
Interceptor.attach(this.wg_log_addr, {
|
|
onEnter: function(args) {
|
|
console.log("Entering in the function to get the first argument");
|
|
wg_log_global_ptr = new NativePointer(args[0]);
|
|
}
|
|
});
|
|
|
|
while (! wg_log_global_ptr) {
|
|
Thread.sleep(1)
|
|
}
|
|
this.wg_log_global_ptr = wg_log_global_ptr;
|
|
console.log("WGLogFuzzer prepare ended")
|
|
}
|
|
|
|
|
|
// This function is called by the fuzzer with the first argument being a pointer into memory
|
|
// where the payload is stored and the second the length of the input.
|
|
fuzz(payload, len) {
|
|
// Get a pointer to payload being a valid C string (with a null byte at the end)
|
|
var payload_cstring = payload.readCString(len);
|
|
this.payload = Memory.allocUtf8String(payload_cstring);
|
|
|
|
// Debug and fuzz
|
|
this.debug_log(this.payload, len);
|
|
// Pass the 2 first arguments we know the function needs and finally the payload to fuzz
|
|
this.target_function(this.wg_log_global_ptr, this.tag, this.payload);
|
|
}
|
|
}
|
|
|
|
const f = new WGLogFuzzer();
|
|
rpc.exports.fuzzer = f;
|
|
```
|
|
{% endcode %}
|
|
|
|
* **Compilar** o fuzzer:
|
|
```bash
|
|
# From inside fpicker clone
|
|
## Compile from "myfuzzer.js" to "harness.js"
|
|
frida-compile examples/wg-log/myfuzzer.js -o harness.js
|
|
```
|
|
* Chame o fuzzer **`fpicker`** usando **`radamsa`**:
|
|
|
|
{% code overflow="wrap" %}
|
|
```bash
|
|
# Indicate fpicker to fuzz a program with the harness.js script and which folders to use
|
|
fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
|
|
# You can find code coverage and crashes in examples/wg-log/out/
|
|
```
|
|
{% endcode %}
|
|
|
|
{% hint style="danger" %}
|
|
Neste caso, **não estamos reiniciando o aplicativo ou restaurando o estado** após cada payload. Portanto, se o Frida encontrar uma **falha**, as **próximas entradas** após esse payload também podem **fazer o aplicativo falhar** (porque o aplicativo está em um estado instável), mesmo que a **entrada não devesse fazer o aplicativo falhar**.
|
|
|
|
Além disso, o Frida irá se conectar aos sinais de exceção do iOS, então quando o **Frida encontrar uma falha**, provavelmente um **relatório de falha do iOS não será gerado**.
|
|
|
|
Para evitar isso, por exemplo, poderíamos reiniciar o aplicativo após cada falha do Frida.
|
|
{% endhint %}
|
|
|
|
### Logs & Falhas
|
|
|
|
Você pode verificar o **console do macOS** ou o **`log`** cli para verificar os logs do macOS.\
|
|
Você também pode verificar os logs do iOS usando **`idevicesyslog`**.\
|
|
Alguns logs omitirão informações adicionando **`<private>`**. Para mostrar todas as informações, você precisa instalar algum perfil em [https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/) para habilitar essas informações privadas.
|
|
|
|
Se você não souber o que fazer:
|
|
```sh
|
|
vim /Library/Preferences/Logging/com.apple.system.logging.plist
|
|
<?xml version="1.0" encoding="UTF-8"?>
|
|
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
|
|
<plist version="1.0">
|
|
<dict>
|
|
<key>Enable-Private-Data</key>
|
|
<true/>
|
|
</dict>
|
|
</plist>
|
|
|
|
killall -9 logd
|
|
```
|
|
Podes verificar os crashes em:
|
|
|
|
- **iOS**
|
|
- Settings → Privacy → Analytics & Improvements → Analytics Data
|
|
- `/private/var/mobile/Library/Logs/CrashReporter/`
|
|
- **macOS**:
|
|
- `/Library/Logs/DiagnosticReports/`
|
|
- `~/Library/Logs/DiagnosticReports`
|
|
|
|
{% hint style="warning" %}
|
|
iOS armazena apenas 25 crashes do mesmo aplicativo, então é necessário limpar isso ou o iOS deixará de criar crashes.
|
|
{% endhint %}
|
|
|
|
## Tutoriais Frida Android
|
|
|
|
{% content-ref url="../android-app-pentesting/frida-tutorial/" %}
|
|
[frida-tutorial](../android-app-pentesting/frida-tutorial/)
|
|
{% endcontent-ref %}
|
|
|
|
## Referências
|
|
- [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)
|
|
|
|
<details>
|
|
|
|
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Outras formas de apoiar o HackTricks:
|
|
|
|
- Se quiser ver a **sua empresa anunciada no HackTricks** ou **descarregar o HackTricks em PDF** Consulte os [**PLANOS DE SUBSCRIÇÃO**](https://github.com/sponsors/carlospolop)!
|
|
- Adquira o [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
|
|
- Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), a nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
- **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
|
|
- **Partilhe os seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
|
|
|
</details>
|