越狱调试(23)

越狱环境中Cycript的使用

1. 手机安装Cycript
2. USB链接手机
   1. clear -> 清理手机的终端 -> 需要该插件支持adv-cmds
3. adv-cmds -> 让手机的终端更多命令
4. ps -A -> 获取手机进程
   1. ps -A | grep WeChat -> 找到WeChat的进程
5. cycript -p 13379 ->
   1. 13379 -> 程序进程 -> 用ps -A 获取
   2. cycript -p 也可以
   3. ctrl d -> 退出cycript
6. 导入自定义.cy
   1. cd /usr/lib/cycript0.9/
   2. pwd -> 输出路径
   3. scp -P 12345 ./hank.cy root@localhost:/usr/lib/cycript0.9/
      1. scp -P 12345 ./hank.cy root@localhost:/usr/lib/cycript0.9/com/Logic -> 注意最后的文件夹命名 -> 学习参考
      2. 此时再cycript -p AlipayWallet -> @import hank -> 就可以使用了
   4. cycript -p AlipayWallet
      1. cycript0.9该目录下 -> com/saurik/substrate/MS.cy
      2. @import com.saurik.substrate.MS -> 可正确导入MS文件
      3. 学习别人的文件放置方法 -> 目的防止cycript0.9文件下太多冲突
      4. mkdir Logic -> 创建文件夹
         1. mv hank.cy ./com/Logic/ -> @import com.Logic.hank
         2. 查资料 看cycript的文档怎么一次性导入多个.cy文件

theos

1. 查看MonkeyDev的Git -> theos -> 安装ldid
   1. sudo git clone –recursive https://github.com/theos/theos.git /opt/theos
      1. –recursive -> 循环安装theos需要的依赖库
      2. 最后的/opt/theos -> 安装位置
   2. ldid -> 签名工具 -> 针对越狱插件的一个签名
      1. codesign -> iOS系统的一个签名工具
2. echo $THEOS -> 打印./zchrc里的该定义的路径
3. 主要是使用theos/bin/nic.pl脚本来制作插件
4. nic.pl

分析支付宝登录密码

1. 链接手机
2. ps -A | grep Ali -> 找到支付宝进程
3. cycript -p AlipayWallet
4. @import com.Logic.hack
   1. HKCurrentVC()
   2. #0x10xfasdf(上一步获取的VC地址).view.recursiveDescription().toString() -> 打印界面视图 -> 找刚才输入的密码字符串
5. 找界面中文汉字 -> 新开终端 -> 进入python环境
   1. str = u”登录”
   2. str -> 就找到该字符串对应的编码 -> copy去搜索
6. 找到该按钮的对象 -> #(按钮对象地址).allTargets
   1. #(按钮对象地址).allControlEvents -> 64 -> touchUpInside
   2. 1 2的6次方 -> 64
      1. 可进入python环境验证 -> 2**5 2的5次方
      2. 2**6 -> 2的6次方 -> 64
      3. exit() -> 退出python环境
7. [#(按钮对象地址) actionsForTarget: #(上层容器地址 在第6步可以获取) forControlEvent: 64] -> 可以打印出方法名 @[“onNext”]
8. ctrl d -> 退出cycript环境
9. dump.cy 支付宝 -> 砸壳支付宝
   1. class-dump -H AlipayWallet -o headers/ -> 导出头文件
   2. Sublime Text -> 打开头文件夹
   3. command shift f -> 对应类名 @interface ALUAccuratePWDView
   4. 找到ALUAccuratePWDView文件 -> 看是否有onNext方法
   5. 根据动静态分析找到可能与密码有关的类 aluLoginBox
   6. 找到该类aluLoginBox -> aluInputBox
10. /#(ALUAccuratePWDView对象地址)->_loginBox->_passwordInputBox
    1. 上面的->也是命令 -> 可以打印_passwordInputBox的地址
    2. /#(ALUAccuratePWDView对象地址)->_loginBox->_passwordInputBox->_textField -> 打印_textField的对象地址

theos使用

1. nic.pl -> 15 -> 代表插件

2. 插件工程设置 -> 此处注意包名称(类似于Build ID)统一都是小写

   

   image.png
   1. Bundld filter -> 要附加的进程id(Build ID)
   2. cycript -p AlipayWallet -> APPID -> 拿到Build ID
   3. 最后一项是插件安装之后要杀掉的进程 -> 默认是桌面进程SpringBoard
      1. 此处多写了支付宝AlipayWallet

3. 上一步生成的文件夹用Sublime Text打开

   1. Makefile的配置

      

      image.png

4. Tweak.x -> Logos语法文件

   

   image.png

5. cd alipaypwddemo/

6. make -> Makefile有这个文件就可以执行编译

   1. 路径有中文 -> 编译失败 -> 拷贝整个文件到桌面
   2. make -> 报错因为NSLog没有导入Foundtion框架
   3. 导入头文件后 make -> 成功
   4. make package -> 打包
   5. make install
      1. 因为上面有安装成功时有要杀掉进程的,此时按理来说应该杀掉的
   6. 如果hook失败
      1. 检查hook代码
      2. make clean -> 上面的3-6流程
      3. Xcode -> window -> Devices -> Open Console

完整hook代码

此时记得要将Tweak.x -> Tweak.xm

#import %hook ALUAccuratePWDView -(void)onNext{ UIView * v1 = MSHookIvar (self,"_loginBox"); UIView * v2 = MSHookIvar (v1,"_passwordInputBox"); UITextField * pwd = MSHookIvar (v2,"_textField"); NSLog(@"密码是%@",pwd.text); } %end

theos注意点

• theos跟Xcode有关系的,如果多个Xcode,要指定默认Xcode

1. xcode-select -p -> 打印默认Xcode路径
2. xcode-select –switch (路径) -> 指定Xcode

Reveal Loader

Reveal Loader 安装该插件

1. 链接手机
2. cd /usr/lib/
3. cd /Library/
4. 手机安装Reveal Loader插件(来源BigBoss)
5. 设置里面开启Reveal的权限
6. 电脑安装Reveal
   1. help -> Show Reveal Library -> ios
7. 链接手机
   1. cd /Library/
   2. mkdir RHRevealLoader
8. 电脑端 scp -P 12345 RevealServer root@localhost:/Library/RHRevealLoader/libReveal.dylib
   1. scp -r -P 12345 RevealServer.framework root@localhost:/Library/Frameworks/RevealServer.framework -> 低版本的用8的命令就行, -r 是针对文件夹的移动方法
   2. rm -rf (文件夹) -> -rf 移出文件夹(包括文件夹里面的文件)

LLDB

发送请求之前, 修改数据

1. Xcode -> Debug -> Attach to Process
2. 链接手机查看相应的进程 -> ps -A | grep WeChat
3. pviews
4. view debug 都可以

LLDB原理

1. debugserver
2. 找到相应的手机版本的镜像文件 -> 双击打开
3. 镜像文件 -> usr/bin/debugserver
4. 链接手机
   1. cd /usr/bin/
   2. cd /Developer/usr/bin/
   3. ls -> 可以发现手机里面的debugserver
   4. md5比较手机里的和我们Xcode里的(手机的可以拷贝出来)
   5. scp -P 12345 root@localhost:(pwd路径) ./debugserver
   6. md5比较 -> 一毛毛一样样

debugserver

1. 端口映射 python tcprelay.py -t 22:12345 12346:12346
2. 电脑端 lldb -> 进入lldb环境
3. 进入手机环境 cd /Developer/usr/bin/ -> 手机里找到debugserver -> ./debugserver 运行有启动提示
4. 手机环境 ps -A | grep WeChat -> 找到微信进程
5. 手机环境 ./debugserver localhost:12346 -a (进程数字)
6. 电脑端lldb
   1. process connect connect://localhost:12346
   2. pvc
   3. pviews
   4. c
   5. process interrupt
   6. methods 类名