Étapes pour installer Frida sur un appareil jailbreaké :
Ouvrez l'application Cydia/Sileo.
Accédez à Gérer -> Sources -> Modifier -> Ajouter.
Entrez "https://build.frida.re" comme URL.
Allez à la source Frida nouvellement ajoutée.
Installez le package Frida.
Si vous utilisez Corellium, vous devrez télécharger la version de Frida depuis https://github.com/frida/frida/releases (frida-gadget-[votreversion]-ios-universal.dylib.gz) et décompressez et copiez à l'emplacement dylib demandé par Frida, par exemple : /Users/[votreutilisateur]/.cache/frida/gadget-ios.dylib
Une fois installé, vous pouvez utiliser sur votre PC la commande frida-ls-devices et vérifier que l'appareil apparaît (votre PC doit pouvoir y accéder).
Exécutez également frida-ps -Uia pour vérifier les processus en cours d'exécution sur le téléphone.
Frida sans appareil jailbreaké et sans patcher l'application
Avec le serveur Frida installé et l'appareil en cours d'exécution et connecté, vérifiez si le client fonctionne :
frida-ls-devices# List devicesfrida-ps-Uia# Get running processes
Frida Trace
# Functions## Trace all functions with the word "log" in their namefrida-trace-U<program>-i"*log*"frida-trace-U<program>-i"*log*"|swiftdemangle# Demangle names# Objective-C## Trace all methods of all classesfrida-trace-U<program>-m"*[* *]"## Trace all methods with the word "authentication" from classes that start with "NE"frida-trace-U<program>-m"*[NE* *authentication*]"# Plug-In## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binaryfrida-trace-U-W<if-plugin-bin>-m'*[* *]'
Obtenir toutes les méthodes d'une classe (filtrer par chaîne)
/tmp/script.js
// frida -U <program> -l /tmp/script.jsvar specificClass ="YourClassName";var filterMethod ="filtermethod";if (ObjC.available) {if (ObjC.classes.hasOwnProperty(specificClass)) {var methods =ObjC.classes[specificClass].$ownMethods;for (var i =0; i <methods.length; i++) {if (!filterMethod || methods[i].includes(filterClass)) {console.log(specificClass +': '+ methods[i]);}}} else {console.log("Class not found.");}} else {console.log("Objective-C runtime is not available.");}
Appeler une fonction
// Find the address of the function to callconstfunc_addr=Module.findExportByName("<Prog Name>","<Func Name>");// Declare the function to callconstfunc=newNativeFunction(func_addr,"void", ["pointer","pointer","pointer"], {});var arg0 =null;// In this case to call this function we need to intercept a call to it to copy arg0Interceptor.attach(wg_log_addr, {onEnter:function(args) {arg0 =newNativePointer(args[0]);}});// Wait untill a call to the func occurswhile (! arg0) {Thread.sleep(1);console.log("waiting for ptr");}var arg1 =Memory.allocUtf8String('arg1');var txt =Memory.allocUtf8String('Some text for arg2');wg_log(arg0, arg1, txt);console.log("loaded");
Frida Fuzzing
Frida Stalker
D'après la documentation: Stalker est le moteur de traçage de code de Frida. Il permet de suivre les threads, capturant chaque fonction, chaque bloc, même chaque instruction qui est exécutée.
Voici un autre exemple pour attacher Frida Stalker à chaque fois qu'une fonction est appelée:
console.log("loading");constwg_log_addr=Module.findExportByName("<Program>","<function_name>");constwg_log=newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});Interceptor.attach(wg_log_addr, {onEnter:function(args) {console.log(`logging the following message: ${args[2].readCString()}`);Stalker.follow({events: {// only collect coverage for newly encountered blockscompile:true,},onReceive:function (events) {constbbs=Stalker.parse(events, {stringify:false,annotate:false});console.log("Stalker trace of write_msg_to_log: \n"+bbs.flat().map(DebugSymbol.fromAddress).join('\n'));}});},onLeave:function(retval) {Stalker.unfollow();Stalker.flush(); // this is important to get all events}});
Ceci est intéressant à des fins de débogage mais pour le fuzzing, être constamment .follow() et .unfollow() est très inefficace.
fpicker est une suite de fuzzing basée sur Frida qui offre une variété de modes de fuzzing pour le fuzzing en interne, tels qu'un mode AFL++ ou un mode de traçage passif. Il devrait fonctionner sur toutes les plateformes prises en charge par Frida.
# Get fpickergitclonehttps://github.com/ttdennis/fpickercdfpicker# Get Frida core devkit and prepare fpickerwget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xztar-xf./*tar.xzcplibfrida-core.alibfrida-core-[yourOS].a#libfrida-core-macos.a# Install fpickermakefpicker-[yourOS]# fpicker-macos# This generates ./fpicker# Install radamsa (fuzzer generator)brewinstallradamsa
Préparer le FS :
# From inside fpicker clonemkdir-pexamples/wg-log# Where the fuzzing script will bemkdir-pexamples/wg-log/out# For code coverage and crashesmkdir-pexamples/wg-log/in# For starting inputs# Create at least 1 input for the fuzzerechoHelloWorld>examples/wg-log/in/0
Script Fuzzer (examples/wg-log/myfuzzer.js):
examples/wg-log/myfuzzer.js
// Import the fuzzer base classimport { Fuzzer } from"../../harness/fuzzer.js";classWGLogFuzzerextendsFuzzer {constructor() {console.log("WGLogFuzzer constructor called")// Get and declare the function we are going to fuzzvar wg_log_addr =Module.findExportByName("<Program name>","<func name to fuzz>");var wg_log_func =newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});// Initialize the objectsuper("<Program nane>", wg_log_addr, wg_log_func);this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"console.log("WGLogFuzzer in the middle");// Prepare the second argument to pass to the fuzz functionthis.tag =Memory.allocUtf8String("arg2");// Get the first argument we need to pass from a call to the functino we want to fuzzvar wg_log_global_ptr =null;console.log(this.wg_log_addr);Interceptor.attach(this.wg_log_addr, {onEnter:function(args) {console.log("Entering in the function to get the first argument");wg_log_global_ptr =newNativePointer(args[0]);}});while (! wg_log_global_ptr) {Thread.sleep(1)}this.wg_log_global_ptr = wg_log_global_ptr;console.log("WGLogFuzzer prepare ended")}// This function is called by the fuzzer with the first argument being a pointer into memory// where the payload is stored and the second the length of the input.fuzz(payload, len) {// Get a pointer to payload being a valid C string (with a null byte at the end)var payload_cstring =payload.readCString(len);this.payload =Memory.allocUtf8String(payload_cstring);// Debug and fuzzthis.debug_log(this.payload, len);// Pass the 2 first arguments we know the function needs and finally the payload to fuzzthis.target_function(this.wg_log_global_ptr,this.tag,this.payload);}}constf=newWGLogFuzzer();rpc.exports.fuzzer = f;
Compiler le fuzzer :
# From inside fpicker clone## Compile from "myfuzzer.js" to "harness.js"frida-compileexamples/wg-log/myfuzzer.js-oharness.js
Appeler le fuzzer fpicker en utilisant radamsa:
# Indicate fpicker to fuzz a program with the harness.js script and which folders to usefpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/
Dans ce cas, nous ne redémarrons pas l'application ni ne restaurons l'état après chaque charge utile. Ainsi, si Frida trouve un crash, les prochaines entrées après cette charge utile pourraient également provoquer un crash de l'application (car l'application est dans un état instable), même si l'entrée ne devrait pas provoquer de crash de l'application.
De plus, Frida se connectera aux signaux d'exception d'iOS, donc lorsque Frida trouve un crash, il est probable qu'aucun rapport de crash iOS ne sera généré.
Pour prévenir cela, par exemple, nous pourrions redémarrer l'application après chaque crash de Frida.
Journaux & Crashes
Vous pouvez vérifier la console macOS ou le cli log pour vérifier les journaux macOS.
Vous pouvez également vérifier les journaux d'iOS en utilisant idevicesyslog.
Certains journaux omettront des informations en ajoutant <private>. Pour afficher toutes les informations, vous devez installer un profil à partir de https://developer.apple.com/bug-reporting/profiles-and-logs/ pour activer ces informations privées.
