iOS逆向 - 使用MonkeyDev破解签名算法(无需越狱)

破解前需要准备:

XCodeiPhone真机(无需越狱)、已砸壳的ipa包(可以从pp助手下载)、class-dump(用于导出头文件)、MonkeyDev(逆向神器,可在未越狱手机上逆向,必备)、IDA Pro(或Hopper Disassembler V3,反汇编工具)

准备工作:

砸壳ipa包。
AppStore上下载的App,都是苹果加壳的。直接用class-dump,只会导出一个CDStructures.h文件,其它什么有用信息都没有,对于逆向App没有一点用处。

因此,推荐从pp助手上下载已砸壳的ipa包,这样能够节省自己砸壳的工作量,能够将更多的时间和精力放在逆向上。

有了已砸壳的ipa包以后,就可以顺序进行下面的步骤了。

1、查看ipa包是否已砸壳

otool -l ShareCarProject | grep crypt
已经砸壳

2、使用class-dump导出头文件

class-dump -H ShareCarProject.app/ -o Headers

我们就可以在.h文件中查看所有公开方法的声明,方便之后使用MonkeyDev hook该方法。

从dump出的头文件,可以看出网络请求库使用了AFNetworking,一般实际工程中都会对AFNetworking再封装,然后发起网络请求。

该网络封装类就是我们要破解的目标。

dump出来的类

dump出的头文件要好好保存,因为破解的过程中需要查看所有可能是签名的函数,而且下一步hook时必须知道函数声明。由于并不清楚网络请求和加密的类,所以只能不断尝试,可以试着搜索networknetenginesignmd5rsa之类的关键词,猜想哪个方法更有可能是签名函数。为了验证自己的判断,就必须使用MonkeyDev进行验证。

破解签名算法就是不断假设、不断验证的过程,虽然枯燥,但是能够了解到App的很多设计和实现,也是一种学习的方式。

3、MonkeyDev上场的时候到了

使用MonkeyDev hook应用,破解工程如链接所示:

Likechuxing签名破解工程

经过多次尝试,才最终确定请求类是NetEngineHelper、签名方法在BasePublicParameModel

破解工程只是打印了AFHTTPSessionManagerNetEngineHelper的请求参数,以及BasePublicParameModel类签名函数的参数和返回值,让我们能够以直观的方式看到数据在签名前和签名后区别。

生成的签名参数verification:

请求参数

签名前字符串以及签名:

签名函数

HTTP请求参数

HTTP请求

这个工程已经是不断调整后结果了,至于这个结果是怎么来的,如何确定签名函数的内部实现细节,就必须进行下一步反汇编:查看伪码。

这里我们用的是IDA Pro

4、IDA Pro反汇编

将砸壳后的安装包使用IDA打开,通过如下方式搜索BasePublicParameModel,能够快速定位到目标类:

搜索类名

这个类的所有方法就都展示在functions window中了:

类的方法

还没有确定签名函数,所以必须在这些方法中继续寻找。

5、找到签名函数的位置和实现细节

经过一番寻找终于能够确定,汇编和伪码如下:

函数实现伪码

上面的截图已经展示签名函数的所有细节,有个非常重要的细节是构建的签名前字符串不仅仅是参数的组合,另外还有一个变量也参与了签名

6、XCode快速验证签名算法

验证工程如链接所示:
Likechuxing签名验证工程

必须不断地试错,才能完整实现App的签名算法。

这里有个小tip,就是拿到签名前和签名后的参数,将签名前参数放入验证工程中,如果通过自己写的签名算法函数运算得到一样的签名后参数,就说明自己的算法实现是对的了。

7、python实现签名算法

这一步其实是必不可少的,因为如果签名算法只用Objective-C实现,那就不可能移植到centOS等服务器上,也不可能移植到windows主机上,花这么多时间破解签名算法就真的只是浪费功夫了。

为了不依赖XCodeMac环境,这里使用了python语言实现了请求接口,使用python是因为它的易用性与普及性,在其它机器只要有python环境就能非常容易地运行起来。

这里使用pythonrequest类构建一个post请求,设置HTTP请求头、User-Agent等信息,按规则写入请求参数并对请求参数签名,写入HTTP请求体,从而达到抓取网点列表接口数据的目的。

python脚本如下:
https://github.com/xiaoL0204/likechuxing_request

脚本运行效果如下:

python脚本运行效果

说明:示例中去掉了关键信息,直接运行likechuxing_request.py是会报“验证失败”的错误的。
本文出于学习目的,着重于学习App的设计、熟悉反汇编、熟悉python语言和库,练习urllib2、urllib、hashlib等库。

推荐阅读更多精彩内容