logo头像
Snippet 博客主题

iOS刺激战场辅助分析

在未越狱状态下进行真机调试
Tools:
  • xcode

  • 真机调试证书

  • iPhone

  • MachOView工具

  • class-dump

  • logify

  • Theos


刺激战场.ipa(注入dylib辅助的包)

  1. 解压 刺激战场.ipa
    解压
    得到ZHSign.app

  2. 打开xcode新建一个工程,名字为ZHSign

新建工程

配置好证书Run一下 (command+R)

接下来利用一下偷天换日的方法把刺激战场的包copy到我们新建的工程里(在Build Phases添加一个Run Script,脚本cp -rf /刺激战场Patch.app /新建工程的Patch)如cp -rf /Users/CydiaBwcx/Desktop/Payload/ZHSign.app /Users/CydiaBwcx/Library/Developer/Xcode/DerivedData/ZHSign-gtvuxaewlrtuuadukjyfbooggrvf/Build/Products/Debug-iphoneos/,这样一来就能用xcode进行真机调试了。

连接手机到xcode工程command+R Run运行一下,这时我们就可以进行lldb调试了~~~

手机端

这时需要输入激活码才能进入,先抓包看一下~~ 随便输入几个数字

这里我输入888888,提示激活码无效~~

抓包得到的信息 POST /api/pubg/activeCode
http://45.61.244.165:17788/api/pubg/activeCode
POST提交的参数 info=lHVenL8UJXDQJkyx0xnhmg4r8kRm1Qgp//gyk4RFC3/kxrdHkZAnH9IYWGXYckDy+bNLom7vJzmJcSnOUudMOsl0m/A12sNaOMOwR6WNtnA=
返回的JSON参数
{ "info": "Mw3eGChavBkohHenbbNvNNuW2yw2OgWeweHTTiiK4O09zWVbnW9LruDBjcuDZFuSE22jlbKy6gUAoL9VVP2PG+HJst9uzd74m+CxypAxwZA=", "status": "200" }
这里的数据都进行了加密,要想破解进去那就要知道这里提交了什么~需要做的就是“解密”,要解密就要先知道是什么加密方式!

接下来到.app包里看下注入的库~~ 祭出神器 class-dump


cd desktop/Payload/ZHSign.app
class-dump -H mmmcj.dylib -o ./dump
这时dump出来的头文件就在这个dump文件夹里了~进文件夹简单看一下~额 看看有没有什么线索~

NSString-AESSecurity.h,这就是我们需要的线索~无疑是AES加密了

祭出神器logify

dump文件夹路径终端键入/opt/theos/bin/logify.pl NSString-AESSecurity.h > Tweak.xmlogify.pl 生成Tweak.xm,然后用Theos生成dylib(我这里生成了hookaes.dylib)

yololib

利用yololib注入hookaes.dylib进刺激战场的Tweak可执行文件里~hookaes.dylib拷贝到ZHSign.app里面

#####回到xcode工程command+R
重新执行Run一下~安装注入好的包进行lldb
回到手机端再输入激活码888888

从lldb里可以看到我们注入的hookaes.dylib已经生效,并打印出来信息~

1
ShadowTrackerExtra[2744:1486054] [hookaes] /Users/CydiaBwcx/Desktop/hookaes/hookaes/hookaes.xm:3 DEBUG: +[<NSString: 0x1b56f07b8> encrypyAES:{"activate":"888888", "UUID":"D47A7380-9E8B-4E93-B929-C26AC674A470", "type": 1} key:=[%4+&iw?(]/6,E9]

提交的信息为{"activate":"888888", "UUID":"D47A7380-9E8B-4E93-B929-C26AC674A470", "type": 1}

AES密匙 key:=[%4+&iw?(]/6,E9]

解密好了下面就不说了,改激活码后台域名为自己的。。然后自己YY了。