iOS Frida Yapılandırması

Reading time: 9 minutes

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

Frida Kurulumu

Jailbroken bir cihazda Frida'yı kurmak için adımlar:

  1. Cydia/Sileo uygulamasını açın.
  2. Yönet -> Kaynaklar -> Düzenle -> Ekle'ye gidin.
  3. URL olarak "https://build.frida.re" yazın.
  4. Yeni eklenen Frida kaynağına gidin.
  5. Frida paketini kurun.

Eğer Corellium kullanıyorsanız, Frida sürümünü https://github.com/frida/frida/releases adresinden indirmelisiniz (frida-gadget-[yourversion]-ios-universal.dylib.gz) ve unpack edip Frida'nın istediği dylib konumuna kopyalamalısınız, örneğin: /Users/[youruser]/.cache/frida/gadget-ios.dylib

Kurulduktan sonra, PC'nizde frida-ls-devices komutunu kullanarak cihazın görünüp görünmediğini kontrol edebilirsiniz (PC'nizin ona erişebilmesi gerekir).
Ayrıca telefonun çalışan süreçlerini kontrol etmek için frida-ps -Uia komutunu da çalıştırın.

Jailbroken cihaz olmadan ve uygulamayı patchlemeden Frida

Uygulamayı patchlemeden jailbreak yapılmamış cihazlarda Frida'nın nasıl kullanılacağı hakkında bu blog yazısını kontrol edin: https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07

Frida İstemci Kurulumu

frida tools'u kurun:

bash
pip install frida-tools
pip install frida

Frida sunucusu kurulu ve cihaz çalışıyor ve bağlı olduğunda, kontrol et eğer istemci çalışıyor:

bash
frida-ls-devices  # List devices
frida-ps -Uia     # Get running processes

Frida İzleme

bash
# Functions
## Trace all functions with the word "log" in their name
frida-trace -U <program> -i "*log*"
frida-trace -U <program> -i "*log*" | swift demangle # Demangle names

# Objective-C
## Trace all methods of all classes
frida-trace -U <program> -m "*[* *]"

## Trace all methods with the word "authentication" from classes that start with "NE"
frida-trace -U <program> -m "*[NE* *authentication*]"

# Plug-In
## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binary
frida-trace -U -W <if-plugin-bin> -m '*[* *]'

Tüm sınıfları ve yöntemleri al

  • Otomatik tamamlama: Sadece frida -U <program> komutunu çalıştırın.
  • Tüm mevcut sınıfları al (dize ile filtrele)
/tmp/script.js
// frida -U <program> -l /tmp/script.js

var filterClass = "filterstring"

if (ObjC.available) {
for (var className in ObjC.classes) {
if (ObjC.classes.hasOwnProperty(className)) {
if (!filterClass || className.includes(filterClass)) {
console.log(className)
}
}
}
} else {
console.log("Objective-C runtime is not available.")
}
  • Bir sınıfın tüm yöntemlerini al (dize ile filtrele)
/tmp/script.js
// frida -U <program> -l /tmp/script.js

var specificClass = "YourClassName"
var filterMethod = "filtermethod"

if (ObjC.available) {
if (ObjC.classes.hasOwnProperty(specificClass)) {
var methods = ObjC.classes[specificClass].$ownMethods
for (var i = 0; i < methods.length; i++) {
if (!filterMethod || methods[i].includes(filterClass)) {
console.log(specificClass + ": " + methods[i])
}
}
} else {
console.log("Class not found.")
}
} else {
console.log("Objective-C runtime is not available.")
}
  • Bir fonksiyonu çağır
javascript
// Find the address of the function to call
const func_addr = Module.findExportByName("<Prog Name>", "<Func Name>")
// Declare the function to call
const func = new NativeFunction(
func_addr,
"void",
["pointer", "pointer", "pointer"],
{}
)

var arg0 = null

// In this case to call this function we need to intercept a call to it to copy arg0
Interceptor.attach(wg_log_addr, {
onEnter: function (args) {
arg0 = new NativePointer(args[0])
},
})

// Wait untill a call to the func occurs
while (!arg0) {
Thread.sleep(1)
console.log("waiting for ptr")
}

var arg1 = Memory.allocUtf8String("arg1")
var txt = Memory.allocUtf8String("Some text for arg2")
wg_log(arg0, arg1, txt)

console.log("loaded")

Frida Fuzzing

Frida Stalker

From the docs: Stalker, Frida'nın kod izleme motorudur. İş parçacıklarının takip edilmesine olanak tanır, her fonksiyonu, her bloğu, hatta yürütülen her talimatı yakalar.

Frida Stalker'ı uygulayan bir örneğiniz var https://github.com/poxyran/misc/blob/master/frida-stalker-example.py

Bu, her seferinde bir fonksiyon çağrıldığında Frida Stalker'ı eklemek için başka bir örnektir:

javascript
console.log("loading")
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>")
const wg_log = new NativeFunction(
wg_log_addr,
"void",
["pointer", "pointer", "pointer"],
{}
)

Interceptor.attach(wg_log_addr, {
onEnter: function (args) {
console.log(`logging the following message: ${args[2].readCString()}`)

Stalker.follow({
events: {
// only collect coverage for newly encountered blocks
compile: true,
},
onReceive: function (events) {
const bbs = Stalker.parse(events, {
stringify: false,
annotate: false,
})
console.log(
"Stalker trace of write_msg_to_log: \n" +
bbs.flat().map(DebugSymbol.fromAddress).join("\n")
)
},
})
},
onLeave: function (retval) {
Stalker.unfollow()
Stalker.flush() // this is important to get all events
},
})

caution

Bu, hata ayıklama açısından ilginçtir ancak fuzzing için sürekli .follow() ve .unfollow() kullanmak çok verimsizdir.

Fpicker

fpicker Frida tabanlı bir fuzzing paketi olup, AFL++ modu veya pasif izleme modu gibi süreç içi fuzzing için çeşitli fuzzing modları sunar. Frida tarafından desteklenen tüm platformlarda çalışmalıdır.

bash
# Get fpicker
git clone https://github.com/ttdennis/fpicker
cd fpicker

# Get Frida core devkit and prepare fpicker
wget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xz
tar -xf ./*tar.xz
cp libfrida-core.a libfrida-core-[yourOS].a #libfrida-core-macos.a

# Install fpicker
make fpicker-[yourOS] # fpicker-macos
# This generates ./fpicker

# Install radamsa (fuzzer generator)
brew install radamsa
  • FS'i Hazırlayın:
bash
# From inside fpicker clone
mkdir -p examples/wg-log # Where the fuzzing script will be
mkdir -p examples/wg-log/out # For code coverage and crashes
mkdir -p examples/wg-log/in # For starting inputs

# Create at least 1 input for the fuzzer
echo Hello World > examples/wg-log/in/0
  • Fuzzer script (examples/wg-log/myfuzzer.js):
examples/wg-log/myfuzzer.js
// Import the fuzzer base class
import { Fuzzer } from "../../harness/fuzzer.js"

class WGLogFuzzer extends Fuzzer {
constructor() {
console.log("WGLogFuzzer constructor called")

// Get and declare the function we are going to fuzz
var wg_log_addr = Module.findExportByName(
"<Program name>",
"<func name to fuzz>"
)
var wg_log_func = new NativeFunction(
wg_log_addr,
"void",
["pointer", "pointer", "pointer"],
{}
)

// Initialize the object
super("<Program nane>", wg_log_addr, wg_log_func)
this.wg_log_addr = wg_log_addr // We cannot use "this" before calling "super"

console.log("WGLogFuzzer in the middle")

// Prepare the second argument to pass to the fuzz function
this.tag = Memory.allocUtf8String("arg2")

// Get the first argument we need to pass from a call to the functino we want to fuzz
var wg_log_global_ptr = null
console.log(this.wg_log_addr)
Interceptor.attach(this.wg_log_addr, {
onEnter: function (args) {
console.log("Entering in the function to get the first argument")
wg_log_global_ptr = new NativePointer(args[0])
},
})

while (!wg_log_global_ptr) {
Thread.sleep(1)
}
this.wg_log_global_ptr = wg_log_global_ptr
console.log("WGLogFuzzer prepare ended")
}

// This function is called by the fuzzer with the first argument being a pointer into memory
// where the payload is stored and the second the length of the input.
fuzz(payload, len) {
// Get a pointer to payload being a valid C string (with a null byte at the end)
var payload_cstring = payload.readCString(len)
this.payload = Memory.allocUtf8String(payload_cstring)

// Debug and fuzz
this.debug_log(this.payload, len)
// Pass the 2 first arguments we know the function needs and finally the payload to fuzz
this.target_function(this.wg_log_global_ptr, this.tag, this.payload)
}
}

const f = new WGLogFuzzer()
rpc.exports.fuzzer = f
  • Fuzzer'ı derleyin:
bash
# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
frida-compile examples/wg-log/myfuzzer.js -o harness.js
  • Fuzzer fpickerradamsa kullanarak çağırın:
bash
# Indicate fpicker to fuzz a program with the harness.js script and which folders to use
fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/

caution

Bu durumda her payload'tan sonra uygulamayı yeniden başlatmıyoruz veya durumu geri yüklemiyoruz. Bu nedenle, Frida bir çökme bulursa, o payload'tan sonraki girdiler de uygulamayı çökertme riski taşır (çünkü uygulama kararsız bir durumda) ve girdi uygulamayı çökertmemelidir.

Dahası, Frida iOS'un istisna sinyallerine bağlanacak, bu nedenle Frida bir çökme bulduğunda, muhtemelen iOS çökme raporları oluşturulmayacaktır.

Bunu önlemek için, örneğin, her Frida çökmesinden sonra uygulamayı yeniden başlatabiliriz.

Loglar & Çökme

macOS konsolunu veya log cli'yi kullanarak macOS loglarını kontrol edebilirsiniz.
Ayrıca idevicesyslog kullanarak iOS loglarını da kontrol edebilirsiniz.
Bazı loglar, bilgi ekleyerek <private> ifadesini atlayabilir. Tüm bilgileri göstermek için, o özel bilgiyi etkinleştirmek üzere https://developer.apple.com/bug-reporting/profiles-and-logs/ adresinden bazı profilleri yüklemeniz gerekir.

Ne yapacağınızı bilmiyorsanız:

sh
vim /Library/Preferences/Logging/com.apple.system.logging.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Enable-Private-Data</key>
<true/>
</dict>
</plist>

killall -9 logd

Çökmeleri kontrol edebilirsiniz:

  • iOS
  • Ayarlar → Gizlilik → Analizler & İyileştirmeler → Analiz Verisi
  • /private/var/mobile/Library/Logs/CrashReporter/
  • macOS:
  • /Library/Logs/DiagnosticReports/
  • ~/Library/Logs/DiagnosticReports

warning

iOS yalnızca aynı uygulamanın 25 çökmesini saklar, bu nedenle bunu temizlemeniz gerekir yoksa iOS çökme oluşturmaya devam etmeyecektir.

Frida Android Eğitimleri

Frida Tutorial

Referanslar

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin