Các tác vụ cơ bản khi test iOS

1. Kết nối với thiết bị

Thông thường, để thuận tiện cho việc pentest, ta sẽ sử dụng một shell để truy cập tới thiết bị.

a. Remote shell

Để có được một remote shell tới thiết bị iOS, ta sẽ sử dụng thông qua ssh. Đầu tiên, vào Cydia, tìm kiếm từ khoá OpenSSH. Sau khi cài đặt sẽ thấy như thế này:

Tiếp theo là kết nối máy tính và thiết bị test vào cùng một mạng wifi cục bộ. Rồi sử dụng ssh tới thiết bị với câu lệnh:

ssh -p 22 root@<ip của iOS>

Trong đó <ip của iOS> là địa chỉ của thiết bị test trong mạng nội bộ. Có thể xem thông tin này tại Setting > Wifi > <tên mạng wifi>. Mật khẩu mặc định cho tài khoản root sau khi jailbreak sẽ là alpine. Mình khuyến khích đổi mật khẩu này nếu làm việc trong môi trường không riêng tư lắm vì người khác cũng có thể truy cập tới thiết bị iOS của bạn bằng tài khoản mặc định này. Tham khảo phần đổi mật khẩu phía dưới nhé.

Thế là chúng ta đã truy cập được vào thiết bị iOS rồi.

Thay đổi mật khẩu của thiết bị iOS

Sau khi truy cập được vào thiết bị, để thay đổi mật khẩu tương tự như với linux, gõ

passwd

Sau đó thực hiện nhập mật khẩu mới và confirm lại mật khẩu mới này.

b. On-device shell app.

c. Via Usb

Trên thực tế, việc xử dụng chung một mạng wifi thường không khả thi hoặc không hiệu quả do tín hiệu chập chờn. Cách mình khuyến khích sử dụng kết nối thông qua usb.

Trên thiết bị iOS có 1 tiến trình daemon là Usbmuxd cho phép map cổng trên thiết bị với cổng TCP trên máy host. Nhờ đó ta có thể setup được kết nối ssh mà không thực sự cần một kết nối mạng. Khi mà usbmuxd thấy thiết bị iOS chạy ở normal mode, nó sẽ kết nối tới thiết bị và bắt đầu chuyển tiếp các request nó nhận được thông qua /var/run/usbmuxd.

Kết nối macOS và iPhone bằng iproxy:

• Trước tiên cần cài đặt libimobiledevice

brew install libimobiledevice

• Tiếp theo map cổng 22 của thiết bị iOS với 1 cổng của TCP của host với iproxy:

iproxy 2222 22

Trong đó 2222 là cổng tcp của máy host. Cuối cùng là thực hiện kết nối tới thiết bị iOS thôi:

ssh -p 2222 root@localhost

Vì cổng 2222 nằm luôn trên máy host nên địa chỉ t sử dụng sẽ là localhost.

2. Host-Device Data Transfer

a. Copying App Data Files via SSH and SCP

Dữ liệu của app thường sẽ nằm ở (/private)/var/mobile/Containers/Data/Application/<app id data>. Để lấy được dữ liệu này có thể sử dụng scp để tải về máy thông qua kết nối ssh. Vì scp chỉ chuyển 1 file 1 lần nên dễ nhất là nén nó lại rồi chuyển.

Nén data:

tar czvf /var/mobile/Containers/Data/Application/<app id data> (<nơi lưu>)

Để tìm được <app id data> có thể dùng câu lệnh find để tìm kiếm:

find /var/mobile/Containers/Data/Application/ -name <key word>

với keyword thường là tên app.

Sau khi đã có được file nén, về shell của máy host và chạy scp để tải về máy:

scp root@localhost:<nơi lưu> <nơi lưu trên máy host>

Nếu kết nối thông qua usb như bên trên, thêm option -P <tcp port>.

scp -P 2222 root@localhost:/var/root/dvia.tar  ./

b. Passionfruit

Trên giao diện của passionfruit, chuyển sang tab File, tìm file muốn tải về và click vào, sẽ thấy ở bên phải sẽ có nhiều các option để xem hoặc tải file về.

c. Objection

Vì mình chưa sử dụng Objection nên sẽ bổ sung sau ạ

d. iFunbox

Tại giao diện của iFunbox, click chuột phải vào file muốn tải và bấm vào copy to mac ==> so easy.

3. Obtaining and Extracting Apps

Getting the IPA File from an OTA Distribution Link

Phần này chỉ là mình dịch lại của OWASP vì chưa từng tiếp xúc với OTA bao giờ, có thể khi làm thực tế sẽ có

Trong quá trình phát triển, đôi khi tester sẽ được cung cấp app thông qua over-the-air (OTA) distribution. Trong trường hợp này, chúng ta sẽ nhận được 1 itms-services link, giống như sau:

itms-services://?action=download-manifest&url=https://s3-ap-southeast-1.amazonaws.com/test-uat/manifest.plist

Ta có thể sử dụng itms service assets downloader để tải IPS từ OTA distribution URL. Để cài đặt, chạy câu lệnh:

npm install -g itms-services

Lưu lại api :

 itms-services -u "itms-services://?action=download-manifest&url=https://s3-ap-southeast-1.amazonaws.com/testuat/manifest.plist" -o - > out.ipa

Acquiring the App Binary

a. Từ API file:

Nếu đã có api file (có thể đã có sẵn mã nhị phân đã giải mã), chỉ đơn giản là giải nén và đọc nó thôi. Thường binary sẽ nằm trong thư mục main bundle (.app). Trên macOS, .app được mở đơn giản bằng việc show package content. (trong Finder, click chuột phải vào vào chọn Show Package Content).

b. Từ thiết bị đã jailbreak

Nếu không có api file, chúng ta cần có 1 thiết bị jailbroken để cài đặt app trên đó. Tuy nhiên vì có DRM, binary app sẽ được mã hoá nên việc kéo nó về để dùng gần như là vô nghĩa. Để có được binary đã giải mã, ta sẽ dùng các tool như frida-ios-dump hay Clutch.

Sử dụng Clutch

Trước tiên, sử dụng Clutch để xem các app đã cài đặt trên máy. (Chú ý Clutch sẽ không ghi nhận các app được cài đặt thông qua sideloading, nói cách khác là chỉ ghi nhận các app được cài từ App Store):

Sau đó dump app bằng câu lệnh:

Clutch -d <id>

Sử dụng frida-ios-dump

Cái này mình chưa sử dụng nên sẽ bổ sung sau.

4. Installing app

a. Cydia Impactor

Công cụ này vốn được thiết kế nhằm jailbreak iOS. Nhưng đã được viết lại để sign và cài đặt app trên iOS thông qua sideloading. Để cài đặt ipa file, chỉ cần đơn giản kéo file thả vào app và quá trình cài đặt sẽ tự động được thực thi.

b. libimobiledevice

Đây là một bộ thư viện đa nền tảng và set các tool để giao tiếp với thiết bị iOS. Để cài đặt, chạy câu lệnh:

brew install libimobiledevice

Sau khi cài đặt, bạn sẽ có thể thực hiện các lệnh khác như ideviceinfo , ideviceinstaller hay idevicedebug.

Sau đó có thể dùng ideviceinstaller để cài đặt app.

c. ipainstaller

Một công cụ cho phép cài đặt app bằng ipa file. Sau khi upload file lên thiết bị, sử dụng câu lệnh sau để cài đặt app:

ipainstaller App_name.ipa

d. XCode

• Mở XCode
• Chọn Window/Devices and Simulators
• Chọn thiết bị iOS được kết nối và bấm vào + để cài app

e. iFunbox

Cài đặt với iFunbox rất đơn giản khi chỉ cần bấm vào install app và chọn ipa file.

5. Information Gathering

Quá trình này là một quá trình cơ bản trong việc pentest app. Trong phần này, chúng ta sẽ chỉ nói tới việc như: lấy ra các app đã cài đặt, xem các package hay data của app. Điều này sẽ cho ta một vài thông tin thú vị mà chưa cần biết gì tới reverse engeneering. Các kĩ thuật nâng cao hơn sẽ được đề cập trong các bài viết tiếp theo.

Khi thực hiện bước này, chúng ta sẽ tập trung trả lời các câu hỏi:

• Các file nào nằm trong package?
• Framework nào được sử dụng?
• Dung lượng mà app yêu cầu/ sử dụng?
• App đòi các quyền gì? Mục đích là gì?
• App có sử dụng các kết nối không an toàn không?
• Trong quá trình cài đặt có sinh ra các file nào không?

a. Liệt kê các app đã cài đặt

Ta có thể sử dụng frida-ps để lấy ra các app (A) được install (i) trên thiết bị kết nối qua USB (U) với câu lệnh

frida-ps -Uai

Cũng có thể dùng passionfruit để nhìn các app trên giao diện:

Tương tự với iFunbox:

và một vài cách khác nữa bạn có thể tự tìm hiểu thêm nhé.

b. Exploring the App Package

Nếu chúng ta có ipa file, đơn giản chỉ cần giải nén với unzip hay bất kì tool giải nén nào khác. Ta sẽ thấy các package của nó trong 1 thư mục payload. Nếu không, có thể sử dụng passionfruit để xem các thông tin này. Cùng điểm qua các thông tin quan trọng có thể tìm thấy ở đây:

Info.plist

Các information property list hay Info.plist (tên quy ước) là nguồn thông tin chính cho các ứng dụng iOS. Nó thường có các cặp key-value mô tả cấu hình của app. Trên thực tế, một bundle sẽ thường có 1 file Info.plist.

Có thể sử dụng plutil để chuyển sang định dạng xml1:

plutil -convert xml1 Info.plist

Ngoài ra passionfruit cũng hỗ trợ view các file này trực tiếp.

App binary

App binary của iOS là dạng fat binary (Có thể chạy cả trên 32-bit và 64-bit). Khác với Android khi có thể decompile binary thành Java/Smali code, app binary của iOS chỉ có thể được deassembler.

Chúng ta sẽ nói thêm về điều này trong phần về "Reverse Engineering and Tampering on iOS"

Native Libraries

Các native libraries này còn được biết tới với cái tên Framwork. Có thể xem các framework này ở mục "Modules" của passionfruit:

Đối với ipa file thì nó nằm trong thư mục Frameworks.

Chú ý: Đây có thể không phải list đầy đủ các framework, có thể là có framework nằm trong source code và không hiển thị ra ở mục này. Cách duy nhất để xem các framework này là đọc phần về Tampering and Reverse Engineering on iOS.

Các thông tin khác

• Keychain
• sqlite3 database
• yap database
• realm database
• couchdatabase
• Log

....

c. Accessing App Data Directories

Trước tiên, app data sẽ được lưu tại (/private)/var/mobile/Containers/Data/Application/<app data id>. Tuy nhiên, <app data id> và <app bundle id> là 2 id khác nhau và việc tìm kiếm thủ công sẽ rất mất thời gian nên hãy điểm qua vài cách để liệt tìm toạ độ của app ta cần nào :

• Dùng find:

find (/private)/var/mobile/Containers/Data/Application/ -name <pattern>

• ipainstaller:

• Dùng passionfruit

và cả tá các cách nữa, hãy tự mình tìm hiểu thêm nhé.

Thông thường 1 app sẽ có các thư mục như

• Documents/
  • Chứa các thông tin được tạo bởi người dùng.
  • Người dùng có thể xem và viết lên các thông tin này.
  • Nội dung được backup.
  • App có thể tắt đường dẫn bằng cách sử dụng NSURLIsExcludedFromBackupKey.
• Library
  • Chứa các file không phải của người dùng như caches, preferences, cookies, and property list (plist) configuration files.
  • iOS app thường sử dụng Application Support and Caches subdirectories, but the app có thể tự tạo custom subdirectories.
• Library/Caches/
  • Chứa các file bán bán ổn định.
  • Người dùng không thấy và không thể viết lên đây.
  • Dữ liệu trong này không được backup.
  • Hệ điều hành có thể tự đông xoá thư mục này khi app không chạy và bộ nhớ còn lại ít.
• Library/Application Support/
  • Chứa các persistent file cần để chạy được app.
  • Người dùng không thấy và không thể sửa các file này.
  • Nội dung trong file được backup.
  • Có thể disable đường dẫn này với NSURLIsExcludedFromBackupKey.
• Library/Preferences/
  • Chứa các thuộc tính mà vẫn còn tồn tại dù có khởi động lại app.
  • Thông tin được lưu, không mã hoá, bên trong sandbox với 1 file [Bundle_id].plist.
  • Tất cả các key-value sử dụng NSUserDefaults có thể tìm thấy trong file này.
• tmp/
  • Dùng để ghi các temporary files mà không cần tính liên tục khi chạy app.
  • Chứa các file caches không cần tính liên tục.
  • Người dùng có thể thấy.
  • Dữ liệu không được backup.
  • Hệ điều hành có thể tự đông xoá thư mục này khi app không chạy và bộ nhớ còn lại ít.

d. Setting up an Interception Proxy

Mình khuyến khích ở đây chúng ta sẽ sử dụng Burp Suite để làm Interception Proxy vì nó dễ dùng, nhiều tài liệu và có hệ thống support để tìm cách khắc phục lỗi khá ổn cũng như có nhiều tính năng được tích hợp hoặc có thể cài đặt thêm.

Về cách cài đặt Burp và sử dụng cơ bản, xem lại phần về Setup môi trường test nhé.

Cấu hình burp để làm việc với thiết bị iOS:

Đầu tiên vào proxy > options > sửa lại interface mà burp bắt gói tin như hình. chú ý: Nếu kết nối usb thì có thể để loopback cho an toàn.

Tuy nhiên, có một số app hay trang web sẽ không chấp thuận các chứng chỉ dài quá dài (nếu không nhầm là dài hơn 39 tháng). Thế nên chúng ta cần tự taọ 1 chứng chỉ của riêng mình và import vào burp tại proxy > options > import/export CA certificate

Cấu hình thiết bị để kết nối tới burp:

Đối với kết nối wifi: Kết nối vào mạng wifi, rồi tìm vào infomation > configure proxy

Chọn manual và cấu hình:

• Server: <ip của máy macOS>
• Port: <port trên burp> (8080)

Đối với kết nối usb

• Kết nối tới 1 mạng wifi
• Cũng vào chỉnh proxy như trên, tuy nhiên server để là localhost
• Thực hiện remote port forwarding trên máy macOS bằng câu lệnh:

ssh -p 2222 -R 8080:localhost:8080 root@localhost

Add chứng chỉ của burp vào thiết bị iOS:

Sau khi cấu hình proxy xong, mở sarafy lên, truy cập tới http://burp

Bấm vào CA Certificate > allow để tải chứng chỉ về

Vào setting > general > profile

Bấm vào profile vừa tải về và install

Tiếp theo vào setting > general > about > certificate trust setting và cho phép profile lên root CA

ok vậy là xong, thử vào burp để kiểm tra :

Vậy là xong phần setting cơ bản để bắt gói tin rồi.

Chú ý thứ n: Việc add root CA cho là một trong những cách để vượt qua SSL Pinning. Ngoài ra còn có nhiều cách khác, có thể tham khảo tại đây