iOS Frida Configuration

Support HackTricks

Installing Frida

Βήματα για να εγκαταστήσετε το Frida σε συσκευή με Jailbreak:

  1. Ανοίξτε την εφαρμογή Cydia/Sileo.

  2. Μεταβείτε στο Manage -> Sources -> Edit -> Add.

  3. Εισάγετε "https://build.frida.re" ως URL.

  4. Πηγαίνετε στην πρόσφατα προστιθέμενη πηγή Frida.

  5. Εγκαταστήστε το πακέτο Frida.

Αν χρησιμοποιείτε Corellium, θα χρειαστεί να κατεβάσετε την έκδοση Frida από https://github.com/frida/frida/releases (frida-gadget-[yourversion]-ios-universal.dylib.gz) και να την αποσυμπιέσετε και να την αντιγράψετε στην τοποθεσία dylib που ζητάει το Frida, π.χ.: /Users/[youruser]/.cache/frida/gadget-ios.dylib

Αφού εγκατασταθεί, μπορείτε να χρησιμοποιήσετε στον υπολογιστή σας την εντολή frida-ls-devices και να ελέγξετε ότι η συσκευή εμφανίζεται (ο υπολογιστής σας πρέπει να μπορεί να έχει πρόσβαση σε αυτήν). Εκτελέστε επίσης frida-ps -Uia για να ελέγξετε τις τρέχουσες διαδικασίες του τηλεφώνου.

Frida χωρίς Jailbroken συσκευή & χωρίς patching της εφαρμογής

Δείτε αυτήν την ανάρτηση ιστολογίου σχετικά με το πώς να χρησιμοποιήσετε το Frida σε μη jailbroken συσκευές χωρίς patching της εφαρμογής: https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07

Frida Client Installation

Εγκαταστήστε frida tools:

pip install frida-tools
pip install frida

Με τον διακομιστή Frida εγκατεστημένο και τη συσκευή σε λειτουργία και συνδεδεμένη, έλεγξε αν ο πελάτης είναι λειτουργικός:

frida-ls-devices  # List devices
frida-ps -Uia     # Get running processes

Frida Trace

# Functions
## Trace all functions with the word "log" in their name
frida-trace -U <program> -i "*log*"
frida-trace -U <program> -i "*log*" | swift demangle # Demangle names

# Objective-C
## Trace all methods of all classes
frida-trace -U <program> -m "*[* *]"

## Trace all methods with the word "authentication" from classes that start with "NE"
frida-trace -U <program> -m "*[NE* *authentication*]"

# Plug-In
## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binary
frida-trace -U -W <if-plugin-bin> -m '*[* *]'

Πάρε όλες τις κλάσεις και μεθόδους

  • Αυτόματη ολοκλήρωση: Απλά εκτέλεσε frida -U <program>

  • Πάρε όλες τις διαθέσιμες κλάσεις (φίλτρο κατά συμβολοσειρά)

/tmp/script.js
// frida -U <program> -l /tmp/script.js

var filterClass = "filterstring";

if (ObjC.available) {
for (var className in ObjC.classes) {
if (ObjC.classes.hasOwnProperty(className)) {
if (!filterClass || className.includes(filterClass)) {
console.log(className);
}
}
}
} else {
console.log("Objective-C runtime is not available.");
}
  • Πάρε όλες τις μεθόδους μιας κλάσης (φίλτρο με βάση τη συμβολοσειρά)

/tmp/script.js
// frida -U <program> -l /tmp/script.js

var specificClass = "YourClassName";
var filterMethod = "filtermethod";

if (ObjC.available) {
if (ObjC.classes.hasOwnProperty(specificClass)) {
var methods = ObjC.classes[specificClass].$ownMethods;
for (var i = 0; i < methods.length; i++) {
if (!filterMethod || methods[i].includes(filterClass)) {
console.log(specificClass + ': ' + methods[i]);
}
}
} else {
console.log("Class not found.");
}
} else {
console.log("Objective-C runtime is not available.");
}
  • Καλέστε μια συνάρτηση

// Find the address of the function to call
const func_addr = Module.findExportByName("<Prog Name>", "<Func Name>");
// Declare the function to call
const func = new NativeFunction(
func_addr,
"void", ["pointer", "pointer", "pointer"], {
});

var arg0 = null;

// In this case to call this function we need to intercept a call to it to copy arg0
Interceptor.attach(wg_log_addr, {
onEnter: function(args) {
arg0 = new NativePointer(args[0]);
}
});

// Wait untill a call to the func occurs
while (! arg0) {
Thread.sleep(1);
console.log("waiting for ptr");
}


var arg1 = Memory.allocUtf8String('arg1');
var txt = Memory.allocUtf8String('Some text for arg2');
wg_log(arg0, arg1, txt);

console.log("loaded");

Frida Fuzzing

Frida Stalker

Από την τεκμηρίωση: Ο Stalker είναι η μηχανή ιχνηλάτησης του Frida. Επιτρέπει στους νήματα να παρακολουθούνται, καταγράφοντας κάθε συνάρτηση, κάθε μπλοκ, ακόμη και κάθε εντολή που εκτελείται.

Έχετε ένα παράδειγμα που υλοποιεί τον Frida Stalker στο https://github.com/poxyran/misc/blob/master/frida-stalker-example.py

Αυτό είναι ένα άλλο παράδειγμα για να προσαρτήσετε τον Frida Stalker κάθε φορά που καλείται μια συνάρτηση:

console.log("loading");
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>");
const wg_log = new NativeFunction(
wg_log_addr,
"void", ["pointer", "pointer", "pointer"], {
});

Interceptor.attach(wg_log_addr, {
onEnter: function(args) {
console.log(`logging the following message: ${args[2].readCString()}`);

Stalker.follow({
events: {
// only collect coverage for newly encountered blocks
compile: true,
},
onReceive: function (events) {
const bbs = Stalker.parse(events, {
stringify: false,
annotate: false
});
console.log("Stalker trace of write_msg_to_log: \n" + bbs.flat().map(DebugSymbol.fromAddress).join('\n'));
}
});
},
onLeave: function(retval) {
Stalker.unfollow();
Stalker.flush();  // this is important to get all events
}
});

Αυτό είναι ενδιαφέρον από άποψη αποσφαλμάτωσης, αλλά για fuzzing, το να είστε συνεχώς .follow() και .unfollow() είναι πολύ αναποτελεσματικό.

fpicker είναι μια σουίτα fuzzing βασισμένη σε Frida που προσφέρει μια ποικιλία τρόπων fuzzing για fuzzing εντός διαδικασίας, όπως ένας τρόπος AFL++ ή ένας παθητικός τρόπος ιχνηλάτησης. Πρέπει να λειτουργεί σε όλες τις πλατφόρμες που υποστηρίζονται από το Frida.

# Get fpicker
git clone https://github.com/ttdennis/fpicker
cd fpicker

# Get Frida core devkit and prepare fpicker
wget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xz
tar -xf ./*tar.xz
cp libfrida-core.a libfrida-core-[yourOS].a #libfrida-core-macos.a

# Install fpicker
make fpicker-[yourOS] # fpicker-macos
# This generates ./fpicker

# Install radamsa (fuzzer generator)
brew install radamsa
  • Προετοιμάστε το FS:

# From inside fpicker clone
mkdir -p examples/wg-log # Where the fuzzing script will be
mkdir -p examples/wg-log/out # For code coverage and crashes
mkdir -p examples/wg-log/in # For starting inputs

# Create at least 1 input for the fuzzer
echo Hello World > examples/wg-log/in/0
  • Fuzzer script (examples/wg-log/myfuzzer.js):

examples/wg-log/myfuzzer.js
// Import the fuzzer base class
import { Fuzzer } from "../../harness/fuzzer.js";

class WGLogFuzzer extends Fuzzer {

constructor() {
console.log("WGLogFuzzer constructor called")

// Get and declare the function we are going to fuzz
var wg_log_addr = Module.findExportByName("<Program name>", "<func name to fuzz>");
var wg_log_func = new NativeFunction(
wg_log_addr,
"void", ["pointer", "pointer", "pointer"], {
});

// Initialize the object
super("<Program nane>", wg_log_addr, wg_log_func);
this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"

console.log("WGLogFuzzer in the middle");

// Prepare the second argument to pass to the fuzz function
this.tag = Memory.allocUtf8String("arg2");

// Get the first argument we need to pass from a call to the functino we want to fuzz
var wg_log_global_ptr = null;
console.log(this.wg_log_addr);
Interceptor.attach(this.wg_log_addr, {
onEnter: function(args) {
console.log("Entering in the function to get the first argument");
wg_log_global_ptr = new NativePointer(args[0]);
}
});

while (! wg_log_global_ptr) {
Thread.sleep(1)
}
this.wg_log_global_ptr = wg_log_global_ptr;
console.log("WGLogFuzzer prepare ended")
}


// This function is called by the fuzzer with the first argument being a pointer into memory
// where the payload is stored and the second the length of the input.
fuzz(payload, len) {
// Get a pointer to payload being a valid C string (with a null byte at the end)
var payload_cstring = payload.readCString(len);
this.payload = Memory.allocUtf8String(payload_cstring);

// Debug and fuzz
this.debug_log(this.payload, len);
// Pass the 2 first arguments we know the function needs and finally the payload to fuzz
this.target_function(this.wg_log_global_ptr, this.tag, this.payload);
}
}

const f = new WGLogFuzzer();
rpc.exports.fuzzer = f;
  • Συγκεντρώστε τον fuzzer:

# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
frida-compile examples/wg-log/myfuzzer.js -o harness.js
  • Καλέστε τον fuzzer fpicker χρησιμοποιώντας radamsa:

# Indicate fpicker to fuzz a program with the harness.js script and which folders to use
fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/

Σε αυτή την περίπτωση δεν επανεκκινούμε την εφαρμογή ή δεν αποκαθιστούμε την κατάσταση μετά από κάθε payload. Έτσι, αν η Frida βρει μια κατάρρευση, οι επόμενες εισόδους μετά από αυτό το payload μπορεί επίσης να καταρρεύσουν την εφαρμογή (επειδή η εφαρμογή είναι σε ασταθή κατάσταση) ακόμη και αν η είσοδος δεν θα έπρεπε να καταρρεύσει την εφαρμογή.

Επιπλέον, η Frida θα συνδεθεί στα σήματα εξαιρέσεων του iOS, οπότε όταν η Frida βρει μια κατάρρευση, πιθανώς οι αναφορές κατάρρευσης του iOS δεν θα παραχθούν.

Για να το αποτρέψουμε αυτό, για παράδειγμα, θα μπορούσαμε να επανεκκινήσουμε την εφαρμογή μετά από κάθε κατάρρευση της Frida.

Logs & Crashes

Μπορείτε να ελέγξετε την κονσόλα macOS ή το log cli για να ελέγξετε τα logs του macOS. Μπορείτε επίσης να ελέγξετε τα logs από το iOS χρησιμοποιώντας το idevicesyslog. Ορισμένα logs θα παραλείπουν πληροφορίες προσθέτοντας <private>. Για να δείτε όλες τις πληροφορίες, πρέπει να εγκαταστήσετε κάποιο προφίλ από https://developer.apple.com/bug-reporting/profiles-and-logs/ για να ενεργοποιήσετε αυτές τις ιδιωτικές πληροφορίες.

Αν δεν ξέρετε τι να κάνετε:

vim /Library/Preferences/Logging/com.apple.system.logging.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Enable-Private-Data</key>
<true/>
</dict>
</plist>

killall -9 logd

Μπορείτε να ελέγξετε τα σφάλματα στα:

  • iOS

  • Ρυθμίσεις → Ιδιωτικότητα → Αναλύσεις & Βελτιώσεις → Δεδομένα Αναλύσεων

  • /private/var/mobile/Library/Logs/CrashReporter/

  • macOS:

  • /Library/Logs/DiagnosticReports/

  • ~/Library/Logs/DiagnosticReports

Το iOS αποθηκεύει μόνο 25 σφάλματα της ίδιας εφαρμογής, οπότε πρέπει να το καθαρίσετε ή το iOS θα σταματήσει να δημιουργεί σφάλματα.

Frida Android Tutorials

Αναφορές

Υποστήριξη HackTricks

Last updated