rokefoke

jailbreak가 끝나고 나면 어떤 걸 깔아서 진단해야 할지 뭐가 유용한지 모르는 사람들이 많음.

일단 탈옥은 했는데 활용할 수가 없다면 굳이 할 필요가 없음.

그래서 개인적으로 많이 사용하는 트윅을 간단하게 써볼까 함.

웹뷰형식의 앱은 앱 자체 취약점 진단 시에만 탈옥된 아이폰이 필요한데 모바일 웹 취약점을 굳이 탈옥해서 진행할 필요는 없음.(단, SSL Pinning 우회가 필요한 경우는 다를 수 있음 그리고 꼭 그렇다는 것도 아님. 무튼 아님.)

1. Apple File conduit "2"

ifunbox로 내부 파일을 접근할 수 있도록 해주는 트윅임. WinSCP를 통해 연결할 수 있는 방법도 있지만 ifunbox를 유용하게 쓴다면 거의 필수적으로 잘 쓸 수 있는 트윅임.

2. Openssh

아이폰을 ssh로 연결할 수 있도록 해주는 트윅임. putty로 연결해서 자주 사용함. mobaxterm을 이용하는 것도 추천.

3. Frida

소스를 추가해야함.(https://build.frida.re)

frida는 Android와 iOS에서 많이 쓰이는 툴임. 물론 알겠지만 hooking이나 jailbreak 우회 및 ssl pinning 우회 등 여러 방면에서 많이 쓰임. frida codeshare(https://codeshare.frida.re/) <--------- 여기에서 참조해서 하거나 직접 코딩하는 경우도 많음. (Android에서 많이 쓰긴 함.)

4. classdump

class명과 구조를 알기 위해 사용하는 분석용 툴. 대부분 SSH를 연결하여 사용함.

ios13 이후로는 잘 안 되는 경우가 많은데 https://github.com/DreamDevLost/classdumpios/releases에서 deb파일을 다운로드해 안으로 옮긴 후에 (dpkg -i deb파일)<------- 이렇게 설치해주면 어느 정도 돌아가긴 함.

앱을 decompile 해서 보는 걸 추천함.

5. filza file manager

파일 관리 및 수정 등을 할 때 쓰는 트윅. 앱 내부 파일이나 구조 파악에 유용함.

6. flex3 beta

소스를 추가해야 함.(https://getdelta.co/)

개인적으로 iOS 앱 진단 시에 가장 편하게 쓰는 트윅임. method 찾아 반환 값을 임의로 변경시켜줄 때 많이 사용함.

탈옥 우회 및 위변조 탐지 우회 등을 할 때 주로 쓰임.

7. app sync unified

소스를 추가해야 함.(http://cydia.angelxwind.net)

인가되지 않은 IPA설치 시에 쓰임. 앱 다운그레이드 테스트할 때도 유용하게 쓰임.

8. cydia substrate

기본 트윅임. 트윅을 설치하고 사용하면 기본 앱 등 앱들의 class를 hooking 하거나 method들을 만들거나 변조하는데 이런 hooking 및 변조된 class와 method를 실행할 수 있도록 해주는 트윅임.

9. wget

ssh연결 후에 필요한 파일이나 git을 불러서 사용할 때 유용하게 쓰임.

10. crackerXI+

앱 설치 후 crack 및 리패키징할 때 많이 쓰임. 외부로 sftp툴을 이용해 빼온 뒤 분석할 때 필요한 툴. 전에는 clutch를 많이 썼었음. clutch 설치 방법이라고 하는데 나중에 해볼 생각임. (https://nightohl.tistory.com/entry/ios%EC%95%B1%EB%B6%84%EC%84%9D-%ED%88%B4-Clutch-%EC%84%A4%EC%B9%98-ios13) 이외에 Dumpdecrypted, Frida-ios-dump, bfdecrypted 등도 꾸준히 해볼 생각임.

11. cycript

javascript와 obj-C를 결합한 인터프리터인데 편하고 쓰기 좋음.

탈옥 우회 및 뷰 조작 시에 많이 쓰는데 잘 쓰고 있음.

iOS 버전이 올라가면서 사용 못하는 줄 아는 사람이 많은데 차후 업로드할 예정임.

이 외에도 사용하는 트윅이 많으나 이 정도가 기본적으로 쓰는 트윅들임.

끝!

이전 fiddler와 마찬가지로 연결 후에 인증서를 설치하는 방향으로 진행하려고 함.

burpsuite에서 처음 보면 127.0.0.1:8080으로 설정되어 있음.

로컬(127.0.0.1)을 연결하므로 그냥 진행해도 괜찮지만 프록시 설정을 해줄 예정임.

cmd(명령 프롬프트)에서 ip를 확인해줌.

wifi를 확인해 주면 됌.

이건 임의로 해준 거지만 ipconfig로 확인한 ip와 버프 슈트 ip, 프록시 설정의 ip를 통일해주면 우선 컴퓨터 내 파라미터를 캡처할 수 있음.

여기에서 fiddler에서와 같이 아이폰의 프록시도 통일시켜주면 아이폰의 파라미터도 캡처할 수 있음.

하지만 전과 같이 HTTPS 캡처는 어려울 수 있음.

인증서를 설치해주기로 함.

프록시 연결이 된 후 http://burp/ 로 접근하면 위와 같은 페이지가 뜸.

우측 상단에 CA Certificate를 누르면 인증서를 설치할 수 있음.

위의 설치를 누르면 인증서 설치가 완료됨.

끝!

피들러는 설정이 몇 가지 있지만 설치 후에는 따로 프록시를 매번 건들지 않아도 자동으로 캡처해주는 편의성을 가지고 있음.

장점이 정말 많지만 개인적으로 편해서 많이 사용하는 편임.

(burpsuite도 굉장히 좋은 툴이고 나도 자주 쓰긴하지만 개인적으로 피들러가 익숙함.)

우선 몇가시 설정이 있음.

이후 아이폰에 연결할 때를 주로 생각하여 말할 예정임.

i) 피들러 인증서 설치

fiddler > tools > options > HTTPS의 Capture HTTPS CONNECTs를 체크하면 아래와 같은 글이 나오는데 Derypt HTTPS traffic을 체크해주면 인증서를 설치해줌.

만약 설치를 안 한다면 Actions 박스에 certificate(?)가 쓰여 있는데 그 부분을 누르면 설치가 진행됨.

ii) remote traffic capture

같은 경로의 Connections를 들어가면 왼쪽의 체크박스 중 Allow remote computers to connect를 체크해주면 원격으로 오는 traffic도 캡처함.

tip) 피들러를 사용하면서 필요한 traffic 이외의 이미지라던가 연결이 떠서 정작 변조하려는 부분을 놓치는 경우도 많이 발생했었음.

그래서 위에서 Hide Image Requests, Hide CONNECTs를 체크해서 조금 더 보기 편하도록 만들어서 사용 중임. (필요에 따라 풀어가면서 사용하기도 함)

------------------------------------------------------------------------------------------------------------

피들러 오른쪽 위부분에 저렇게 컴퓨터의 IP 정보를 바로 확인할 수 있는데 앞으로 유용하게 쓰일 예정.

우선 아이폰이 NOX처럼 에뮬레이터로 가능하다면 편하겠지만 아쉽게도 아직 그러기에는 힘든 부분이 많음ㅠㅠ

그러므로 아이폰과 WIFI를 이용해서 진행하는 것이 아직은 편함.

아이폰 WIFI에서 연결하려는 PC의 IP로 프록시 서버 주소를 바꾸어 주고 fiddler에서 설정한 포트를 넣음.

여기까지 하면 연결은 됨. (인증서가 없어서 HTTPS는 어려움이 있음.)

인증서 설치를 해줘야 캡처하는데 수월하게 진행할 수 있음.

http://ipv4.fiddler:8080(설정한 포트)로 접근하면 인증서를 다운받을 수 있음.

다음으로 일반 > 프로파일에서 DO_NOT_TRUST_FiddlerRoot 신뢰를 해주면 인증서 설치가 끝남.

끝!

탈옥 방법은 여러 가지가 있는데 전에는 cydia impacter를 통한 간단한 탈옥이 가능했음.

하지만 cydia impacter가 막혀버린 지 오래되어서 어떻게 탈옥해야 하는지 궁금해하는 사람이 많을 거라 생각해서 쓰게 됨.

(지금 하는 것은 반탈임.)

우선 탈옥하는 방법은 가장 많이 쓰는 방법은 흔히 탈옥 applicatipon을 업데이트하는 방법이 있는데 이것부터 말해보겠음.

탈옥을 하는 앱에는 여러가지가 있는데 많이 쓰는 것은 두 가지로 좁힐 수 있음. 

i) unc0ver

ii) chimera

지금부터 윈도우부터 업로드하는 방법을 설명하겠음.

1. Windows

i) 3utools

가장 편한 방법임.

다운받아서 컴퓨터에 iphone을 연결하면 신뢰하는 컴퓨터인지 물어보는데 신뢰함을 선택하면 3utools에 연결되면서 이런 화면이 뜸.

1년 전? 에는 smartflash에서 탈옥이 가능했으나 지금은 toolbox에서 접근할 수 있음.

오른쪽 아래의 Jailbreak를 들어감.

들어가면 iphone 버전에 따라 탈옥할 수 있는 탈옥 앱을 선택하여 Start Jailbreak를 누르면 탈옥이 시작됨.

단! 안 되는 경우가 있는데 하나는 패치가 되어서 탈옥이 맞혔을 경우와 윈도우에서 탈옥 앱을 막는 경우가 있음.

패치가 된 경우는 3utools에서 다시 탈옥이 가능하도록 업데이트할 때까지 기다리는 수밖에 없음;;;;;

윈도우에서 탈옥 앱을 막는 경우는 방화벽을 모두 열고 defender에서 허용을 해주면 문제없이 진행할 수 있음.

이후 탈옥 앱이 iphone에 깔리면 (일반 > 프로파일 및 규제)에서 설치된 탈옥 앱을 신뢰해주고 실행하면 된다.

(탈옥 앱이 깔렸다고 할더라도 탈옥이 잘 안 되는 경우가 많은데 이건 여러 번 시도하다 보면 됨)

2. iphone

아이폰만 가지고서도 탈옥이 가능하다. (물론 안 되는 경우가 많고 돈 달라는 경우도 많음.)

대부분 안되는데 ninja jailbreak라고 구글에서 찾아들어가면 모바일 웹에서 탈옥 앱을 다운받을 수 있는 경우가 많음.

(딱히 이거 말고 쓸 말은 없지만 되는 경우가 많아서 한 가지 방법으로 씀.)

3. Linux

나 같은 경우는 ubuntu나 kali를 많이 쓰는 편임.

편한 linux를 골라 사용해도 됨.

vmware 혹은 virtualbox를 사용해서 linux를 깔아주면 됨.

i) vmware에 ubuntu 설치 방법

https://catnip-archive.tistory.com/entry/VMware-VMware%EC%97%90-%EA%B0%80%EC%83%81%EB%A8%B8%EC%8B%A0-%EC%B6%94%EA%B0%80%ED%95%98%EA%B8%B0feat-Ubuntu-1804-LTS

ii) visualbox에 ubuntu 설치 방법

https://mainia.tistory.com/2379

위와 같이 ubuntu를 설치해 준 후 checkra1n이라는 탈옥툴을 사용할 생각임.

ubuntu를 설치하면 firefox가 기본으로 깔려있는 것을 확인할 수 있음.

https://checkra.in/

위의 링크에 들어가 설치한 후 몇 가지 명령어만 입력하면 바로 실행할 수 있음.

리눅스의 왼쪽 위를 보면 터미널을 열 수 있는데 Ctrl + Alt + T를 눌러서 열어주는 방법도 있음.

중요한 것은 모든 것은 root 권한으로 해야 함.

root 비밀번호가 없을 경우(kali) su passwd 입력 후 패스워드를 입력해주면 root비밀번호를 설정해 줄 수 있음.

이후 명령어를 입력하여 checkra1n을 실행해 줌.

sudo su //root로그인

cd download/ //checkra1n이 설치된 디렉터리로 이동

chmod 777 checkra1n //checkra1n에 최대 권한을 줌

./checkra1n //checkra1n 실행

// <--------- 이후에 쓰여진 것은 명령어 설명임.

이런 화면이 뜨면 usb로 iphone연결 후 툴이 시키는 대로 진행하면 됨.

4. Mac OS

Xcode를 사용해서 iphone으로 탈옥 앱을 업로드할 수 있음.

우선 mac이 없다는 가정하에 vmware와 virtualbox 두 가지로 설명하겠음.

I) virtualbox

우선 vm과 virtualbox 둘 다 unlocker 설정이 필요함.

unlocker를 적용하려면  명령 프롬프트(cmd)를 오른쪽 마우스를 눌러 <관리자 권한>으로 실행해야 함.

Unlocker 폴더에서 압축이 풀린 파일 중 win-install.cmd를 역시 <관리자 권한>으로 실행해야 함.

작업이 끝나면 바로 명령 프롬프트를 닫지 말고, 스크립트 추가 실행.

D:\Program Files\Oracle\VirtualBox에 ORACLE VitualBox가 설치되어있는데 설치된 드라이브와 폴더의 위치로 미리 이동해서 다음의 스크립트를 실행해줘야 함.

("MacOS" 부분은 자기가 설정한 가상 머신의 이름인 MacOS로 같이 맞춰야 함)

cd  D:\Program Files\Oracle\VirtualBox

VBoxManage.exe modifyvm "MacOS" --cpuidset 00000001 000106e5 00100800 0098e3fd bfebfbff
VBoxManage setextradata "MacOS" "VBoxInternal/Devices/efi/0/Config/DmiSystemProduct" "iMac11,3"
VBoxManage setextradata "MacOS" "VBoxInternal/Devices/efi/0/Config/DmiSystemVersion" "1.0"
VBoxManage setextradata "MacOS" "VBoxInternal/Devices/efi/0/Config/DmiBoardProduct" "Iloveapple"
VBoxManage setextradata "MacOS" "VBoxInternal/Devices/smc/0/Config/DeviceKey" "ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc"
VBoxManage setextradata "MacOS" "VBoxInternal/Devices/smc/0/Config/GetKeyFromRealSMC" 1

II) vmware

우선 아까와 같이 관리자 권한으로 cmd를 실행해야 함.

cmd에서 직접 실행하거나 압축을 푼 후 하나하나 관리자 권한으로 실행해도 괜찮음.

i) win-install.cmd <---- vmware에 VMDK를 사용 가능하도록 패치

ii) win-uninstall.cmd <---- vmware를 패치 전 상태로 복원

iii) win-update-tools.cmd <---- 최신 MacOS 게스트 도구 검색

--------------------------------------------------------------------------------------------------------

이후는 ubuntu 설치와 비슷하게 진행하여 설치해주면 됨.

여기부터는 checkra1n을 써줘도 괜찮지만 우리는 Xcode를 사용해 볼까 함.

여기에서 필요한 건 Xcode와 iOS APP Signer임.

https://www.iosappsigner.com/

iOS App Signer는 위 링크에서 받을 수 있고 Xcode는 MacOS App Store에서 기본 앱으로 이용 가능함.

signer에서는 unc0ver

혹은 chimera를 iOS 버전에 맞게 다운받아 준비해 둠.

요즘은 웹에서도 sign이 가능한 것 같음.

하지만 아래에 Download for Mac을 클릭해서 다운받아 사용할 수 있음.

우선 Xcode를 받아서 연결해보는 게 좋을 듯(Xcode가 너무 커서 오래 걸림.....)

중요: iOS App Signer를 실행하면 이런 화면이 뜨는데 Signing certificate는 Xcode에서 signing & capabilities의 team을 만들어야 하나 개인적인 테스트 용으로만 쓴다면 AppleID를 통해서 사용할 수 있음.

Xcode에서 발급된 signing certificate를 통해 signing이 되었다면 이 앱을 iphone으로 옮길 수 있는데 Xcode에서 Devices and Simulators로 들어가 업로드할 수 있는데 devices의 하단 쪽에 +버튼을 눌러 signing 된 탈옥 앱을 업로드하면 iphone에 정상적으로 탈옥 앱이 옮겨진 것을 확인할 수 있음.

이후 (일반 > 프로파일 및 규제)로 들어가서 신뢰를 해준 다음 탈옥 앱을 통해 탈옥을 할 수 있음.

지금 Xcode가 너무 안 받아져서(용량이 엄청 큼;;;;) 사진이 없으나 차우 업로드할 예정임.

중간의 installed apps의 +를 눌러서 업로드할 수 있음.

만약 업로드가 안된다면 xcode-select –install를 터미널에 쳐서 다운로드가 되었는지 확인해보는 것이 좋음.