Approfondisci la tua esperienza in Sicurezza Mobile con 8kSec Academy. Padroneggia la sicurezza di iOS e Android attraverso i nostri corsi autogestiti e ottieni una certificazione:
Passaggi per installare Frida su un dispositivo Jailbroken:
Apri l'app Cydia/Sileo.
Naviga su Gestisci -> Sorgenti -> Modifica -> Aggiungi.
Inserisci "https://build.frida.re" come URL.
Vai alla nuova sorgente Frida aggiunta.
Installa il pacchetto Frida.
Se stai usando Corellium, dovrai scaricare il rilascio di Frida da https://github.com/frida/frida/releases (frida-gadget-[yourversion]-ios-universal.dylib.gz) e decomprimere e copiare nella posizione dylib richiesta da Frida, ad esempio: /Users/[youruser]/.cache/frida/gadget-ios.dylib
Dopo l'installazione, puoi usare sul tuo PC il comando frida-ls-devices e controllare che il dispositivo appaia (il tuo PC deve essere in grado di accedervi).
Esegui anche frida-ps -Uia per controllare i processi in esecuzione del telefono.
Frida senza dispositivo Jailbroken e senza patchare l'app
Con il server Frida installato e il dispositivo in esecuzione e connesso, controlla se il client è funzionante:
frida-ls-devices# List devicesfrida-ps-Uia# Get running processes
Frida Trace
# Functions## Trace all functions with the word "log" in their namefrida-trace-U<program>-i"*log*"frida-trace-U<program>-i"*log*"|swiftdemangle# Demangle names# Objective-C## Trace all methods of all classesfrida-trace-U<program>-m"*[* *]"## Trace all methods with the word "authentication" from classes that start with "NE"frida-trace-U<program>-m"*[NE* *authentication*]"# Plug-In## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binaryfrida-trace-U-W<if-plugin-bin>-m'*[* *]'
Ottieni tutti i metodi di una classe (filtra per stringa)
/tmp/script.js
// frida -U <program> -l /tmp/script.jsvar specificClass ="YourClassName";var filterMethod ="filtermethod";if (ObjC.available) {if (ObjC.classes.hasOwnProperty(specificClass)) {var methods =ObjC.classes[specificClass].$ownMethods;for (var i =0; i <methods.length; i++) {if (!filterMethod || methods[i].includes(filterClass)) {console.log(specificClass +': '+ methods[i]);}}} else {console.log("Class not found.");}} else {console.log("Objective-C runtime is not available.");}
Chiama una funzione
// Find the address of the function to callconstfunc_addr=Module.findExportByName("<Prog Name>","<Func Name>");// Declare the function to callconstfunc=newNativeFunction(func_addr,"void", ["pointer","pointer","pointer"], {});var arg0 =null;// In this case to call this function we need to intercept a call to it to copy arg0Interceptor.attach(wg_log_addr, {onEnter:function(args) {arg0 =newNativePointer(args[0]);}});// Wait untill a call to the func occurswhile (! arg0) {Thread.sleep(1);console.log("waiting for ptr");}var arg1 =Memory.allocUtf8String('arg1');var txt =Memory.allocUtf8String('Some text for arg2');wg_log(arg0, arg1, txt);console.log("loaded");
Frida Fuzzing
Frida Stalker
From the docs: Stalker è il motore di tracciamento di Frida. Permette di seguire i thread, catturando ogni funzione, ogni blocco, persino ogni istruzione che viene eseguita.
Questo è un altro esempio per attaccare Frida Stalker ogni volta che viene chiamata una funzione:
console.log("loading");constwg_log_addr=Module.findExportByName("<Program>","<function_name>");constwg_log=newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});Interceptor.attach(wg_log_addr, {onEnter:function(args) {console.log(`logging the following message: ${args[2].readCString()}`);Stalker.follow({events: {// only collect coverage for newly encountered blockscompile:true,},onReceive:function (events) {constbbs=Stalker.parse(events, {stringify:false,annotate:false});console.log("Stalker trace of write_msg_to_log: \n"+bbs.flat().map(DebugSymbol.fromAddress).join('\n'));}});},onLeave:function(retval) {Stalker.unfollow();Stalker.flush(); // this is important to get all events}});
Questo è interessante per scopi di debug, ma per fuzzing, essere costantemente .follow() e .unfollow() è molto inefficiente.
fpicker è una suite di fuzzing basata su Frida che offre una varietà di modalità di fuzzing per fuzzing in-process, come una modalità AFL++ o una modalità di tracciamento passivo. Dovrebbe funzionare su tutte le piattaforme supportate da Frida.
# Get fpickergitclonehttps://github.com/ttdennis/fpickercdfpicker# Get Frida core devkit and prepare fpickerwgethttps://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xztar-xf./*tar.xzcplibfrida-core.alibfrida-core-[yourOS].a#libfrida-core-macos.a# Install fpickermakefpicker-[yourOS]# fpicker-macos# This generates ./fpicker# Install radamsa (fuzzer generator)brewinstallradamsa
Preparare il FS:
# From inside fpicker clonemkdir-pexamples/wg-log# Where the fuzzing script will bemkdir-pexamples/wg-log/out# For code coverage and crashesmkdir-pexamples/wg-log/in# For starting inputs# Create at least 1 input for the fuzzerechoHelloWorld>examples/wg-log/in/0
Script Fuzzer (examples/wg-log/myfuzzer.js):
examples/wg-log/myfuzzer.js
// Import the fuzzer base classimport { Fuzzer } from"../../harness/fuzzer.js";classWGLogFuzzerextendsFuzzer {constructor() {console.log("WGLogFuzzer constructor called")// Get and declare the function we are going to fuzzvar wg_log_addr =Module.findExportByName("<Program name>","<func name to fuzz>");var wg_log_func =newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});// Initialize the objectsuper("<Program nane>", wg_log_addr, wg_log_func);this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"console.log("WGLogFuzzer in the middle");// Prepare the second argument to pass to the fuzz functionthis.tag =Memory.allocUtf8String("arg2");// Get the first argument we need to pass from a call to the functino we want to fuzzvar wg_log_global_ptr =null;console.log(this.wg_log_addr);Interceptor.attach(this.wg_log_addr, {onEnter:function(args) {console.log("Entering in the function to get the first argument");wg_log_global_ptr =newNativePointer(args[0]);}});while (! wg_log_global_ptr) {Thread.sleep(1)}this.wg_log_global_ptr = wg_log_global_ptr;console.log("WGLogFuzzer prepare ended")}// This function is called by the fuzzer with the first argument being a pointer into memory// where the payload is stored and the second the length of the input.fuzz(payload, len) {// Get a pointer to payload being a valid C string (with a null byte at the end)var payload_cstring =payload.readCString(len);this.payload =Memory.allocUtf8String(payload_cstring);// Debug and fuzzthis.debug_log(this.payload, len);// Pass the 2 first arguments we know the function needs and finally the payload to fuzzthis.target_function(this.wg_log_global_ptr,this.tag,this.payload);}}constf=newWGLogFuzzer();rpc.exports.fuzzer = f;
Compila il fuzzer:
# From inside fpicker clone## Compile from "myfuzzer.js" to "harness.js"frida-compileexamples/wg-log/myfuzzer.js-oharness.js
Chiama il fuzzer fpicker usando radamsa:
# Indicate fpicker to fuzz a program with the harness.js script and which folders to usefpicker-v--fuzzer-modeactive-eattach-p<Programtofuzz>-Dusb-oexamples/wg-log/out/-iexamples/wg-log/in/-fharness.js--standalone-mutatorcmd--mutator-command"radamsa"# You can find code coverage and crashes in examples/wg-log/out/
In questo caso non stiamo riavviando l'app o ripristinando lo stato dopo ogni payload. Quindi, se Frida trova un crash, i prossimi input dopo quel payload potrebbero anche far crashare l'app (perché l'app è in uno stato instabile) anche se l'input non dovrebbe far crashare l'app.
Inoltre, Frida si collegherà ai segnali di eccezione di iOS, quindi quando Frida trova un crash, probabilmente non verranno generati rapporti di crash di iOS.
Per prevenire questo, ad esempio, potremmo riavviare l'app dopo ogni crash di Frida.
Logs & Crashes
Puoi controllare la console di macOS o il cli log per controllare i log di macOS.
Puoi controllare anche i log da iOS usando idevicesyslog.
Alcuni log ometteranno informazioni aggiungendo <private>. Per mostrare tutte le informazioni è necessario installare un profilo da https://developer.apple.com/bug-reporting/profiles-and-logs/ per abilitare quelle informazioni private.
Approfondisci la tua esperienza in Mobile Security con 8kSec Academy. Padroneggia la sicurezza di iOS e Android attraverso i nostri corsi autogestiti e ottieni la certificazione: