Eğer Corellium kullanıyorsanız, Frida sürümünü https://github.com/frida/frida/releases adresinden indirmeniz gerekecek (frida-gadget-[yourversion]-ios-universal.dylib.gz) ve unpack edip Frida'nın istediği dylib konumuna kopyalamanız gerekecek, örneğin: /Users/[youruser]/.cache/frida/gadget-ios.dylib
Kurulduktan sonra, PC'nizde frida-ls-devices komutunu kullanarak cihazın görünüp görünmediğini kontrol edebilirsiniz (PC'nizin ona erişebilmesi gerekir).
Ayrıca telefonun çalışan süreçlerini kontrol etmek için frida-ps -Uia komutunu da çalıştırın.
Jailbroken cihaz olmadan ve uygulamayı patchlemeden Frida
Frida sunucusu kurulu ve cihaz çalışıyor ve bağlı olduğunda, kontrol et eğer istemci çalışıyor:
frida-ls-devices# List devicesfrida-ps-Uia# Get running processes
Frida İzleme
# Functions## Trace all functions with the word "log" in their namefrida-trace-U<program>-i"*log*"frida-trace-U<program>-i"*log*"|swiftdemangle# Demangle names# Objective-C## Trace all methods of all classesfrida-trace-U<program>-m"*[* *]"## Trace all methods with the word "authentication" from classes that start with "NE"frida-trace-U<program>-m"*[NE* *authentication*]"# Plug-In## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binaryfrida-trace-U-W<if-plugin-bin>-m'*[* *]'
Tüm sınıfları ve yöntemleri al
Otomatik tamamlama: Sadece frida -U <program> komutunu çalıştırın
// frida -U <program> -l /tmp/script.jsvar specificClass ="YourClassName";var filterMethod ="filtermethod";if (ObjC.available) {if (ObjC.classes.hasOwnProperty(specificClass)) {var methods =ObjC.classes[specificClass].$ownMethods;for (var i =0; i <methods.length; i++) {if (!filterMethod || methods[i].includes(filterClass)) {console.log(specificClass +': '+ methods[i]);}}} else {console.log("Class not found.");}} else {console.log("Objective-C runtime is not available.");}
Bir fonksiyonu çağır
// Find the address of the function to callconstfunc_addr=Module.findExportByName("<Prog Name>","<Func Name>");// Declare the function to callconstfunc=newNativeFunction(func_addr,"void", ["pointer","pointer","pointer"], {});var arg0 =null;// In this case to call this function we need to intercept a call to it to copy arg0Interceptor.attach(wg_log_addr, {onEnter:function(args) {arg0 =newNativePointer(args[0]);}});// Wait untill a call to the func occurswhile (! arg0) {Thread.sleep(1);console.log("waiting for ptr");}var arg1 =Memory.allocUtf8String('arg1');var txt =Memory.allocUtf8String('Some text for arg2');wg_log(arg0, arg1, txt);console.log("loaded");
Frida Fuzzing
Frida Stalker
Belgelerden: Stalker, Frida'nın kod izleme motorudur. İş parçacıklarının takip edilmesine olanak tanır, her fonksiyonu, her bloğu, hatta yürütülen her talimatı yakalar.
Bu, her seferinde bir fonksiyon çağrıldığında Frida Stalker'ı eklemek için başka bir örnektir:
console.log("loading");constwg_log_addr=Module.findExportByName("<Program>","<function_name>");constwg_log=newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});Interceptor.attach(wg_log_addr, {onEnter:function(args) {console.log(`logging the following message: ${args[2].readCString()}`);Stalker.follow({events: {// only collect coverage for newly encountered blockscompile:true,},onReceive:function (events) {constbbs=Stalker.parse(events, {stringify:false,annotate:false});console.log("Stalker trace of write_msg_to_log: \n"+bbs.flat().map(DebugSymbol.fromAddress).join('\n'));}});},onLeave:function(retval) {Stalker.unfollow();Stalker.flush(); // this is important to get all events}});
Bu, hata ayıklama açısından ilginçtir ancak fuzzing için sürekli .follow() ve .unfollow() yapmak çok verimsizdir.
fpicker, in-process fuzzing için AFL++ modu veya pasif izleme modu gibi çeşitli fuzzing modları sunan Frida tabanlı bir fuzzing paketidir. Frida tarafından desteklenen tüm platformlarda çalışmalıdır.
# Get fpickergitclonehttps://github.com/ttdennis/fpickercdfpicker# Get Frida core devkit and prepare fpickerwget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xztar-xf./*tar.xzcplibfrida-core.alibfrida-core-[yourOS].a#libfrida-core-macos.a# Install fpickermakefpicker-[yourOS]# fpicker-macos# This generates ./fpicker# Install radamsa (fuzzer generator)brewinstallradamsa
FS'i Hazırlayın:
# From inside fpicker clonemkdir-pexamples/wg-log# Where the fuzzing script will bemkdir-pexamples/wg-log/out# For code coverage and crashesmkdir-pexamples/wg-log/in# For starting inputs# Create at least 1 input for the fuzzerechoHelloWorld>examples/wg-log/in/0
Fuzzer script (examples/wg-log/myfuzzer.js):
examples/wg-log/myfuzzer.js
// Import the fuzzer base classimport { Fuzzer } from"../../harness/fuzzer.js";classWGLogFuzzerextendsFuzzer {constructor() {console.log("WGLogFuzzer constructor called")// Get and declare the function we are going to fuzzvar wg_log_addr =Module.findExportByName("<Program name>","<func name to fuzz>");var wg_log_func =newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});// Initialize the objectsuper("<Program nane>", wg_log_addr, wg_log_func);this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"console.log("WGLogFuzzer in the middle");// Prepare the second argument to pass to the fuzz functionthis.tag =Memory.allocUtf8String("arg2");// Get the first argument we need to pass from a call to the functino we want to fuzzvar wg_log_global_ptr =null;console.log(this.wg_log_addr);Interceptor.attach(this.wg_log_addr, {onEnter:function(args) {console.log("Entering in the function to get the first argument");wg_log_global_ptr =newNativePointer(args[0]);}});while (! wg_log_global_ptr) {Thread.sleep(1)}this.wg_log_global_ptr = wg_log_global_ptr;console.log("WGLogFuzzer prepare ended")}// This function is called by the fuzzer with the first argument being a pointer into memory// where the payload is stored and the second the length of the input.fuzz(payload, len) {// Get a pointer to payload being a valid C string (with a null byte at the end)var payload_cstring =payload.readCString(len);this.payload =Memory.allocUtf8String(payload_cstring);// Debug and fuzzthis.debug_log(this.payload, len);// Pass the 2 first arguments we know the function needs and finally the payload to fuzzthis.target_function(this.wg_log_global_ptr,this.tag,this.payload);}}constf=newWGLogFuzzer();rpc.exports.fuzzer = f;
Fuzzer'ı derleyin:
# From inside fpicker clone## Compile from "myfuzzer.js" to "harness.js"frida-compileexamples/wg-log/myfuzzer.js-oharness.js
radamsa kullanarak fpicker çağırın:
# Indicate fpicker to fuzz a program with the harness.js script and which folders to usefpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/
Bu durumda her yüklemeden sonra uygulamayı yeniden başlatmıyoruz veya durumu geri yüklemiyoruz. Bu nedenle, Frida bir çökme bulursa, o yüklemeden sonraki girdiler de uygulamayı çökertme riski taşır (çünkü uygulama kararsız bir durumda) ve girdi uygulamayı çökertmemelidir.
Ayrıca, Frida iOS'un istisna sinyallerine bağlanacak, bu nedenle Frida bir çökme bulduğunda, muhtemelen iOS çökme raporları oluşturulmayacaktır.
Bunu önlemek için, örneğin, her Frida çökmesinden sonra uygulamayı yeniden başlatabiliriz.
Günlükler & Çökme
macOS konsolunu veya log cli'yi kontrol ederek macOS günlüklerini kontrol edebilirsiniz.
Ayrıca idevicesyslog kullanarak iOS günlüklerini de kontrol edebilirsiniz.
Bazı günlükler, bilgileri <private> ekleyerek gizleyebilir. Tüm bilgileri göstermek için, o özel bilgileri etkinleştirmek üzere https://developer.apple.com/bug-reporting/profiles-and-logs/ adresinden bazı profilleri yüklemeniz gerekir.
