hacktricks/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md

16 KiB
Raw Blame History

iOS Frida Yapılandırması

AWS hacklemeyi sıfırdan ileri seviyeye öğrenin htARTE (HackTricks AWS Red Team Expert) ile!

HackTricks'ı desteklemenin diğer yolları:

WhiteIntel

WhiteIntel, şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından kompromize edilip edilmediğini kontrol etmek için ücretsiz işlevler sunan dark-web destekli bir arama motorudur.

WhiteIntel'in başlıca amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye saldırılarıyla mücadele etmektir.

Websitesini ziyaret edebilir ve motorlarını ücretsiz deneyebilirsiniz:

{% embed url="https://whiteintel.io" %}


Frida'nın Yüklenmesi

Bir Jailbroken cihazda Frida'yı yüklemek için adımlar:

  1. Cydia/Sileo uygulamasınıın.
  2. Yönet -> Kaynaklar -> Düzenle -> Ekle'ye gidin.
  3. URL olarak "https://build.frida.re" yazın.
  4. Yeni eklenen Frida kaynağına gidin.
  5. Frida paketini yükleyin.

Corellium kullanıyorsanız, Frida sürümünü https://github.com/frida/frida/releases adresinden indirmeniz gerekecek (frida-gadget-[sürümünüz]-ios-universal.dylib.gz) ve Frida'nın istediği dylib konumuna açıp kopyalamanız gerekecek, örn.: /Users/[kullanıcıadınız]/.cache/frida/gadget-ios.dylib

Yükledikten sonra, bilgisayarınızda frida-ls-devices komutunu kullanarak cihazın görünüp görünmediğini kontrol edebilirsiniz (bilgisayarınızın buna erişebilmesi gerekir).
Ayrıca telefonun çalışan işlemlerini kontrol etmek için frida-ps -Uia komutunu da çalıştırın.

Jailbroken olmayan cihazlarda ve uygulamayı yamalamadan Frida

Jailbroken olmayan cihazlarda uygulamayı yamalamadan Frida'yı nasıl kullanacağınız hakkında bu blog yazısına göz atın: https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07

Frida İstemci Kurulumu

frida araçlarını yükleyin:

pip install frida-tools
pip install frida

Frida sunucusunun yüklü olduğunu ve cihazın çalıştığını ve bağlı olduğunu kontrol edin:

frida-ls-devices  # List devices
frida-ps -Uia     # Get running processes

Frida İzleme

# Functions
## Trace all functions with the word "log" in their name
frida-trace -U <program> -i "*log*"
frida-trace -U <program> -i "*log*" | swift demangle # Demangle names

# Objective-C
## Trace all methods of all classes
frida-trace -U <program> -m "*[* *]"

## Trace all methods with the word "authentication" from classes that start with "NE"
frida-trace -U <program> -m "*[NE* *authentication*]"

# Plug-In
## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binary
frida-trace -U -W <if-plugin-bin> -m '*[* *]'

Tüm sınıfları ve metotları al

  • Otomatik tamamlama: Sadece frida -U <program> komutunu çalıştırın
  • Tüm mevcut sınıfları al (dizeye göre filtrele)

{% code title="/tmp/script.js" %}

// frida -U <program> -l /tmp/script.js

var filterClass = "filterstring";

if (ObjC.available) {
for (var className in ObjC.classes) {
if (ObjC.classes.hasOwnProperty(className)) {
if (!filterClass || className.includes(filterClass)) {
console.log(className);
}
}
}
} else {
console.log("Objective-C runtime is not available.");
}

{% endcode %}

  • Bir sınıfın tüm metotlarını alın (dizeye göre filtreleyin)

{% code title="/tmp/script.js" %}

// frida -U <program> -l /tmp/script.js

var specificClass = "YourClassName";
var filterMethod = "filtermethod";

if (ObjC.available) {
if (ObjC.classes.hasOwnProperty(specificClass)) {
var methods = ObjC.classes[specificClass].$ownMethods;
for (var i = 0; i < methods.length; i++) {
if (!filterMethod || methods[i].includes(filterClass)) {
console.log(specificClass + ': ' + methods[i]);
}
}
} else {
console.log("Class not found.");
}
} else {
console.log("Objective-C runtime is not available.");
}

{% endcode %}

  • Bir fonksiyonu çağırın
// Find the address of the function to call
const func_addr = Module.findExportByName("<Prog Name>", "<Func Name>");
// Declare the function to call
const func = new NativeFunction(
func_addr,
"void", ["pointer", "pointer", "pointer"], {
});

var arg0 = null;

// In this case to call this function we need to intercept a call to it to copy arg0
Interceptor.attach(wg_log_addr, {
onEnter: function(args) {
arg0 = new NativePointer(args[0]);
}
});

// Wait untill a call to the func occurs
while (! arg0) {
Thread.sleep(1);
console.log("waiting for ptr");
}


var arg1 = Memory.allocUtf8String('arg1');
var txt = Memory.allocUtf8String('Some text for arg2');
wg_log(arg0, arg1, txt);

console.log("loaded");

Frida Fuzzing

Frida Stalker

Belgelerden: Stalker, Frida'nın kod izleme motorudur. İzin verir ki iş parçacıkları takip edilsin, her fonksiyon, her blok hatta her yürütülen talimat yakalansın.

Frida Stalker'ı uygulayan bir örnek https://github.com/poxyran/misc/blob/master/frida-stalker-example.py

Bu, bir fonksiyon çağrıldığında Frida Stalker'ın eklenmesi için başka bir örnektir:

console.log("loading");
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>");
const wg_log = new NativeFunction(
wg_log_addr,
"void", ["pointer", "pointer", "pointer"], {
});

Interceptor.attach(wg_log_addr, {
onEnter: function(args) {
console.log(`logging the following message: ${args[2].readCString()}`);

Stalker.follow({
events: {
// only collect coverage for newly encountered blocks
compile: true,
},
onReceive: function (events) {
const bbs = Stalker.parse(events, {
stringify: false,
annotate: false
});
console.log("Stalker trace of write_msg_to_log: \n" + bbs.flat().map(DebugSymbol.fromAddress).join('\n'));
}
});
},
onLeave: function(retval) {
Stalker.unfollow();
Stalker.flush();  // this is important to get all events
}
});

{% hint style="danger" %} Bu, hata ayıklama amaçları için ilginç olsa da, sürekli olarak .follow() ve .unfollow() yapmak çok verimsizdir. {% endhint %}

Fpicker

fpicker, bir AFL++ modu veya pasif izleme modu gibi işlem içi fuzzing için çeşitli fuzzing modları sunan bir Frida tabanlı fuzzing paketidir. Frida tarafından desteklenen tüm platformlarda çalışmalıdır.

# Get fpicker
git clone https://github.com/ttdennis/fpicker
cd fpicker

# Get Frida core devkit and prepare fpicker
wget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xz
tar -xf ./*tar.xz
cp libfrida-core.a libfrida-core-[yourOS].a #libfrida-core-macos.a

# Install fpicker
make fpicker-[yourOS] # fpicker-macos
# This generates ./fpicker

# Install radamsa (fuzzer generator)
brew install radamsa
  • Dosya Sistemi Hazırlığı:
# From inside fpicker clone
mkdir -p examples/wg-log # Where the fuzzing script will be
mkdir -p examples/wg-log/out # For code coverage and crashes
mkdir -p examples/wg-log/in # For starting inputs

# Create at least 1 input for the fuzzer
echo Hello World > examples/wg-log/in/0
  • Fuzzer betiği (örnekler/wg-log/benimfuzzer.js):

{% code title="örnekler/wg-log/benimfuzzer.js" %}

// Import the fuzzer base class
import { Fuzzer } from "../../harness/fuzzer.js";

class WGLogFuzzer extends Fuzzer {

constructor() {
console.log("WGLogFuzzer constructor called")

// Get and declare the function we are going to fuzz
var wg_log_addr = Module.findExportByName("<Program name>", "<func name to fuzz>");
var wg_log_func = new NativeFunction(
wg_log_addr,
"void", ["pointer", "pointer", "pointer"], {
});

// Initialize the object
super("<Program nane>", wg_log_addr, wg_log_func);
this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"

console.log("WGLogFuzzer in the middle");

// Prepare the second argument to pass to the fuzz function
this.tag = Memory.allocUtf8String("arg2");

// Get the first argument we need to pass from a call to the functino we want to fuzz
var wg_log_global_ptr = null;
console.log(this.wg_log_addr);
Interceptor.attach(this.wg_log_addr, {
onEnter: function(args) {
console.log("Entering in the function to get the first argument");
wg_log_global_ptr = new NativePointer(args[0]);
}
});

while (! wg_log_global_ptr) {
Thread.sleep(1)
}
this.wg_log_global_ptr = wg_log_global_ptr;
console.log("WGLogFuzzer prepare ended")
}


// This function is called by the fuzzer with the first argument being a pointer into memory
// where the payload is stored and the second the length of the input.
fuzz(payload, len) {
// Get a pointer to payload being a valid C string (with a null byte at the end)
var payload_cstring = payload.readCString(len);
this.payload = Memory.allocUtf8String(payload_cstring);

// Debug and fuzz
this.debug_log(this.payload, len);
// Pass the 2 first arguments we know the function needs and finally the payload to fuzz
this.target_function(this.wg_log_global_ptr, this.tag, this.payload);
}
}

const f = new WGLogFuzzer();
rpc.exports.fuzzer = f;

{% endcode %}

  • Fuzzer'ı derleyin:
# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
frida-compile examples/wg-log/myfuzzer.js -o harness.js
  • radamsa kullanarak fpicker fuzzer'ını çağırın:

{% code overflow="wrap" %}

# Indicate fpicker to fuzz a program with the harness.js script and which folders to use
fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/

{% endcode %}

{% hint style="danger" %} Bu durumda her payload'dan sonra uygulamayı yeniden başlatmıyor veya durumu geri yükleme yapmıyoruz. Dolayısıyla, eğer Frida bir çökme bulursa, o payload'dan sonraki sonraki girişler uygulamayı çökertecek olabilir (çünkü uygulama kararsız bir durumda) hatta girişin uygulamayı çökertmemesi gerekiyorsa bile.

Ayrıca, Frida iOS'un istisna sinyallerine kancalandığı için, Frida bir çökme bulduğunda, muhtemelen bir iOS çökme raporu oluşturulmayacak.

Bunu önlemek için örneğin, her Frida çökmesinden sonra uygulamayı yeniden başlatabiliriz. {% endhint %}

Günlükler ve Çökmeler

macOS konsolunu veya log komut satırını kullanarak macOS günlüklerini kontrol edebilirsiniz.
iOS'tan gelen günlükleri kontrol etmek için idevicesyslog kullanabilirsiniz.
Bazı günlükler, <private> ekleyerek bilgileri atlayacaktır. Tüm bilgileri göstermek için https://developer.apple.com/bug-reporting/profiles-and-logs/ adresinden bazı profilleri yükleyerek bu özel bilgileri etkinleştirmeniz gerekmektedir.

Ne yapacağınızı bilmiyorsanız:

vim /Library/Preferences/Logging/com.apple.system.logging.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Enable-Private-Data</key>
<true/>
</dict>
</plist>

killall -9 logd
  • iOS
  • Ayarlar → Gizlilik → Analiz ve İyileştirmeler → Analiz Verileri
  • /private/var/mobile/Library/Logs/CrashReporter/
  • macOS:
  • /Library/Logs/DiagnosticReports/
  • ~/Library/Logs/DiagnosticReports

{% hint style="warning" %} iOS yalnızca aynı uygulamanın 25 çökmesini saklar, bu yüzden bunu temizlemeniz gerekecek ya da iOS çökme oluşturmayı durduracaktır. {% endhint %}

Frida Android Öğreticileri

{% content-ref url="../android-app-pentesting/frida-tutorial/" %} frida-tutorial {% endcontent-ref %}

Referanslar

WhiteIntel

WhiteIntel, şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından kompromize edilip edilmediğini kontrol etmek için ücretsiz işlevsellikler sunan dark-web destekli bir arama motorudur.

WhiteIntel'in asıl amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye saldırılarıyla mücadele etmektir.

Websitesini ziyaret edebilir ve ücretsiz olarak motorlarını deneyebilirsiniz:

{% embed url="https://whiteintel.io" %}

Sıfırdan kahraman olacak şekilde AWS hacklemeyi öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'i desteklemenin diğer yolları: