iOS安全攻防(十九):基于脚本实现动态库注入

原创 2014年02月21日 22:26:20

基于脚本实现动态库注入



MobileSubstrate可以帮助我们加载自己的动态库,于是开发者们谨慎的采取了对MobileSubstrate的检索和防御措施。

那么,除了依靠MobileSubstrate帮忙注入dylib,还有别的攻击入口吗?


理理思路,条件、目的很明确:
1)必须在应用程序启动之前,把dylib的环境变量配置好
2)dylib的位置必须能被应用程序放问到
3)最后再启动应用程序



啊哈,原汁原味,走bash!


在点击应用程序图标-->程序启动这个过程中,在我们看来程序是被动执行的。为了让特定功能的脚本被执行,我们可以把脚本改成应用程序二进制的名字伪装成应用程序,让系统调用启动。在脚本中,配置好dylib,然后再手动启动真的应用程序,假装什么也没发生,挥一挥衣袖不带走一片云彩~

将真的支付宝程序改名为oriPortal:

mv Portal oriPortal

将待执行的脚本改名为支付宝:
mv Portal.sh Portal



脚本代码:

#!/bin/bash

#得到第一个参数
C=$0

#第一个参数是二进制的绝对路径 比如 :
#/private/var/mobile/Applications/4763A8A5-2E1D-4DC2-8376-6CB7A8B98728/Portal.app/
#截取最后一个 / 之前的内容
C=${C%/*}

#库和二进制放在一起
export DYLD_INSERT_LIBRARIES=${C:-.}/wq.dylib
#执行原来APP $@ 别忘了把原来的参数保留
exec "${C:-.}"/oriPortal "$@"


结果不尽人意,失败了……

错误信息如下:



在打开某个加密信息时出了错误,大概猜一下应该是类似加密签名校验的步骤,但是我们无法去了解其中详细的操作到底是什么样的,没关系,那么就把原始的可执行文件环境全部给他造出来,因为检验文件属性肯定不会带着路径信息的。

备份一份Portal.app目录Portal_ori.app,修改脚本为:

#!/bin/bash
C=$0
C=${C%/*}
export DYLD_INSERT_LIBRARIES=${C:-.}/wq.dylib
exec "${C:-.}"/../Portal_ori.app/Portal "$@"

运行支付宝app验证一下,
好消息是,在iOS6上,成功加载了动态库wq.dylib
坏消息是,在iOS7上,失败了,错误信息如下:



应该是因为iOS7的沙盒机制升了级,把我们这套小把戏拦在门外了……
那又怎么样,面包总会有的~








版权声明:本文为博主原创文章,未经博主允许不得转载。

iOS Hacker 重签名实现无需越狱注入动态库 dylib

iOS Hacker 重签名实现无需越狱注入动态库 dylib一、获取 ipa 文件iOS 的应用都是打包成 ipa 的文件格式,ipa 文件实际上就是 zip 格式的文件,通过 unzip 可以解压...

IOS安全–可执行文件dylib注入,无需越狱

转:http://www.blogfshare.com/inject-with-njb.html 简单来说就是通过修改可执行文件的Load Commands,增加一个LC_LOAD_DYLI...

iOS攻防 - (九)将iOS应用注入dylib和hook后,重新签名并打包

iOS攻防 - (八)将iOS应用hook和注入dylib后,重新签名并打包1.下载微信,并解密WeChat.ipa我的本篇博客已经讲过,此处不再赘述 ;http://blog.csdn.net/u0...

iOS安全—阻止tweak注入hook api

在网上看到一种方法可以通过在Other Linker Flags中添加: 1-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null 的方法来阻止dy...
  • zcrong
  • zcrong
  • 2016年06月09日 00:42
  • 1903

iOS Hacker 动态库 dylib 注入

iOS Hacker 动态库 dylib 注入很多情况下我们希望自己写的代码能够在其他应用中运行,如果代码简单的话,可以写 Tweak 或者使用 Cycript。但如果代码多的话,那最好是写一个动态库...

越狱开发之配置MobileSubstrate Dylib模板

越狱开发之配置MobileSubstrate Dylib模板 首先下载附件解压 附件里面的模板在xcode4.2已经不好用了,但直接拿过来改hai shi可以的。 注意编译时要把签名选成“Don...

第四章:iOS应用漏洞利用 ——4.25 代码注入和DYLD_INSERT_LIBRARIES

。。

ios在系统代码中注入自己的代码

转自:http://blog.csdn.net/shaobojohn/article/details/7944011 今天pm提了一个新的需求,需要监听整个程序的事件,在网上查询了下实现...

arm BSS段、数据段、代码段、堆与栈(也加上了我自己的见解)

BSS段:BSS段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文Block Started by Symbol的简称。BSS段属于静态内存分配。 ...

内存管理原理----《Objective-C高级编程:iOS与OS X多线程和内存管理》读书笔记

《Objective-C高级编程:iOS与OS X多线程和内存管理》读书笔记 作者:wangzz 原文地址:http://blog.csdn.net/wzzvictory/article/detail...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:iOS安全攻防(十九):基于脚本实现动态库注入
举报原因:
原因补充:

(最多只允许输入30个字)