iOS刺激战场辅助分析

在未越狱状态下进行真机调试

Tools：

xcode
真机调试证书
iPhone
MachOView工具
class-dump
logify
Theos

刺激战场.ipa(注入dylib辅助的包)

解压刺激战场.ipa

得到ZHSign.app
打开xcode新建一个工程，名字为ZHSign

配置好证书Run一下（command+R）

接下来利用一下偷天换日的方法把刺激战场的包copy到我们新建的工程里（在Build Phases添加一个Run Script，脚本cp -rf /刺激战场Patch.app /新建工程的Patch）如cp -rf /Users/CydiaBwcx/Desktop/Payload/ZHSign.app /Users/CydiaBwcx/Library/Developer/Xcode/DerivedData/ZHSign-gtvuxaewlrtuuadukjyfbooggrvf/Build/Products/Debug-iphoneos/，这样一来就能用xcode进行真机调试了。

连接手机到xcode工程command+R Run运行一下，这时我们就可以进行lldb调试了~~~

手机端

这时需要输入激活码才能进入，先抓包看一下~~ 随便输入几个数字

这里我输入888888，提示激活码无效~~

抓包得到的信息 POST /api/pubg/activeCode
http://45.61.244.165:17788/api/pubg/activeCode
POST提交的参数 info=lHVenL8UJXDQJkyx0xnhmg4r8kRm1Qgp//gyk4RFC3/kxrdHkZAnH9IYWGXYckDy+bNLom7vJzmJcSnOUudMOsl0m/A12sNaOMOwR6WNtnA=
返回的JSON参数
{ "info": "Mw3eGChavBkohHenbbNvNNuW2yw2OgWeweHTTiiK4O09zWVbnW9LruDBjcuDZFuSE22jlbKy6gUAoL9VVP2PG+HJst9uzd74m+CxypAxwZA=", "status": "200" }
这里的数据都进行了加密，要想破解进去那就要知道这里提交了什么~需要做的就是“解密”，要解密就要先知道是什么加密方式！

接下来到.app包里看下注入的库~~ 祭出神器 class-dump

cd desktop/Payload/ZHSign.app
class-dump -H mmmcj.dylib -o ./dump
这时dump出来的头文件就在这个dump文件夹里了~进文件夹简单看一下~额看看有没有什么线索~

NSString-AESSecurity.h,这就是我们需要的线索~无疑是AES加密了

祭出神器logify

dump文件夹路径终端键入/opt/theos/bin/logify.pl NSString-AESSecurity.h > Tweak.xmlogify.pl 生成Tweak.xm，然后用Theos生成dylib（我这里生成了hookaes.dylib）

yololib

利用yololib注入hookaes.dylib进刺激战场的Tweak可执行文件里~hookaes.dylib拷贝到ZHSign.app里面

#####回到xcode工程command+R
重新执行Run一下~安装注入好的包进行lldb
回到手机端再输入激活码888888

从lldb里可以看到我们注入的hookaes.dylib已经生效，并打印出来信息~

ShadowTrackerExtra[2744:1486054] [1;36m[hookaes] [m[0;36m/Users/CydiaBwcx/Desktop/hookaes/hookaes/hookaes.xm:3[m [0;30;46mDEBUG:[m +[<NSString: 0x1b56f07b8> encrypyAES:{"activate":"888888", "UUID":"D47A7380-9E8B-4E93-B929-C26AC674A470", "type": 1} key:=[%4+&iw?(]/6,E9]

提交的信息为{"activate":"888888", "UUID":"D47A7380-9E8B-4E93-B929-C26AC674A470", "type": 1}

AES密匙 `key:=[%4+&iw?(]/6,E9]`

解密好了下面就不说了，改激活码后台域名为自己的。。然后自己YY了。