iOS刺激战场辅助分析
在未越狱状态下进行真机调试
Tools:
xcode
真机调试证书
iPhone
MachOView工具
class-dump
logify
Theos
刺激战场.ipa(注入dylib辅助的包)
配置好证书Run一下 (command+R)
接下来利用一下偷天换日的方法把刺激战场的包copy到我们新建的工程里(在Build Phases添加一个Run Script,脚本cp -rf /刺激战场Patch.app /新建工程的Patch)如cp -rf /Users/CydiaBwcx/Desktop/Payload/ZHSign.app /Users/CydiaBwcx/Library/Developer/Xcode/DerivedData/ZHSign-gtvuxaewlrtuuadukjyfbooggrvf/Build/Products/Debug-iphoneos/,这样一来就能用xcode进行真机调试了。
连接手机到xcode工程command+R Run运行一下,这时我们就可以进行lldb调试了~~~
手机端
这时需要输入激活码才能进入,先抓包看一下~~ 随便输入几个数字
这里我输入888888,提示激活码无效~~
抓包得到的信息 POST /api/pubg/activeCode
http://45.61.244.165:17788/api/pubg/activeCode
POST提交的参数 info=lHVenL8UJXDQJkyx0xnhmg4r8kRm1Qgp//gyk4RFC3/kxrdHkZAnH9IYWGXYckDy+bNLom7vJzmJcSnOUudMOsl0m/A12sNaOMOwR6WNtnA=
返回的JSON参数{
"info": "Mw3eGChavBkohHenbbNvNNuW2yw2OgWeweHTTiiK4O09zWVbnW9LruDBjcuDZFuSE22jlbKy6gUAoL9VVP2PG+HJst9uzd74m+CxypAxwZA=",
"status": "200"
}
这里的数据都进行了加密,要想破解进去那就要知道这里提交了什么~需要做的就是“解密”,要解密就要先知道是什么加密方式!
接下来到.app包里看下注入的库~~ 祭出神器 class-dump
cd desktop/Payload/ZHSign.app
class-dump -H mmmcj.dylib -o ./dump
这时dump出来的头文件就在这个dump文件夹里了~进文件夹简单看一下~额 看看有没有什么线索~
NSString-AESSecurity.h,这就是我们需要的线索~无疑是AES加密了
祭出神器logify
dump文件夹路径终端键入/opt/theos/bin/logify.pl NSString-AESSecurity.h > Tweak.xm
logify.pl 生成Tweak.xm,然后用Theos生成dylib(我这里生成了hookaes.dylib)
yololib
利用yololib注入hookaes.dylib进刺激战场的Tweak可执行文件里~hookaes.dylib拷贝到ZHSign.app里面
#####回到xcode工程command+R
重新执行Run一下~安装注入好的包进行lldb
回到手机端再输入激活码888888
从lldb里可以看到我们注入的hookaes.dylib已经生效,并打印出来信息~1
ShadowTrackerExtra[2744:1486054] [1;36m[hookaes] [m[0;36m/Users/CydiaBwcx/Desktop/hookaes/hookaes/hookaes.xm:3[m [0;30;46mDEBUG:[m +[<NSString: 0x1b56f07b8> encrypyAES:{"activate":"888888", "UUID":"D47A7380-9E8B-4E93-B929-C26AC674A470", "type": 1} key:=[%4+&iw?(]/6,E9]
提交的信息为{"activate":"888888", "UUID":"D47A7380-9E8B-4E93-B929-C26AC674A470", "type": 1}
AES密匙 key:=[%4+&iw?(]/6,E9]
解密好了下面就不说了,改激活码后台域名为自己的。。然后自己YY了。