MobileSubstrate可以幫助我們載入自己的動態庫,於是開發者們謹慎的採取了對MobileSubstrate的檢索和防禦措施。
那麼,除了依靠MobileSubstrate幫忙注入dylib,還有別的攻擊入口嗎?
理理思路,條件、目的很明確:
1)必須在應用程式啟動之前,把dylib的環境變數配置好
2)dylib的位置必須能被應用程式放問到
3)最後再啟動應用程式
啊哈,原汁原味,走bash!
在點選應用程式圖示–>程式啟動這個過程中,在我們看來程式是被動執行的。為了讓特定功能的指令碼被執行,我們可以把指令碼改成應用程式二進位制的名字偽裝成應用程式,讓系統呼叫啟動。在指令碼中,配置好dylib,然後再手動啟動真的應用程式,假裝什麼也沒發生,揮一揮衣袖不帶走一片雲彩~
將真的支付寶程式改名為oriPortal:
|
1 |
mv Portal oriPortal |
將待執行的指令碼改名為支付寶:
|
1 |
mv Portal.sh Portal |
指令碼程式碼:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
#!/bin/bash #得到第一個引數 C=$0 #第一個引數是二進位制的絕對路徑 比如 : #/private/var/mobile/Applications/4763A8A5-2E1D-4DC2-8376-6CB7A8B98728/Portal.app/ #擷取最後一個 / 之前的內容 C=${C%/*} #庫和二進位制放在一起 export DYLD_INSERT_LIBRARIES=${C:-.}/wq.dylib #執行原來APP $@ 別忘了把原來的引數保留 exec "${C:-.}"/oriPortal "$@" |
結果不盡人意,失敗了……
錯誤資訊如下:
在開啟某個加密資訊時出了錯誤,大概猜一下應該是類似加密簽名校驗的步驟,但是我們無法去了解其中詳細的操作到底是什麼樣的,沒關係,那麼就把原始的可執行檔案環境全部給他造出來,因為檢驗檔案屬性肯定不會帶著路徑資訊的。
備份一份Portal.app目錄Portal_ori.app,修改指令碼為:
|
1 2 3 4 5 |
#!/bin/bash C=$0 C=${C%/*} export DYLD_INSERT_LIBRARIES=${C:-.}/wq.dylib exec "${C:-.}"/../Portal_ori.app/Portal "$@" |
執行支付寶app驗證一下,
好訊息是,在iOS6上,成功載入了動態庫wq.dylib
壞訊息是,在iOS7上,失敗了,錯誤資訊如下:
應該是因為iOS7的沙盒機制升了級,把我們這套小把戲攔在門外了……
那又怎麼樣,麵包總會有的~