【网络安全】ios逆向一般整理
一般思路
将ipa文件后缀改为zip,解压之后进入Payload,会有一个.app文件夹,进去找到二进制文件就能放到ida里分析
main函数似乎都没什么用
一般都是直接搜字符串然后交叉引用找到关键函数继续分析
题目
2025数字中国app赛道IOSApp
题目描述:安全审计员审查发现revealFlag函数比较可疑,请分析代码,帮她找到与之相关的flag
搜索string找到一个拼接base64
swift就是用cpp写的,所以看上去很像cpp的风格
调用obfuscatedFlag.unsafeMutableAddressor(),表示从 obfuscatedFlag 获取 flag 的密文
Collection.map<A>(_:)(closure #1 in revealFlag(if:), ...)表示对 String 类型调用 map,对每一个加密字符应用了解密函数(revealFlag)
进入解密函数,Character.asciiValue.getter(); 表示获取字符的 ascii 值
result = UnsignedInteger<>.init<A>(_:)(&v15, ...);可能会让传入的 v15 的一部分(在内存中紧邻的数据)写入了 v16 的值,而v15等于1,也就是每个字符的ascii值都减一
2024ByteCTF极限逃脱
010查看格式,修改后缀后解压,直接搜索字符串发现flag格式
后面有uuid的字符串,直接交不对,且上面有a-f,猜测是某种映射
字符串交叉引用找到关键函数,下面分析整个函数
self相当于从内存加载,而输入的直接是最后的flag
{a67be199da4b-b092-bd3e-e777-a67be199da4b} sha256加密后得到6c9838a3c6810bdb2633ed5910b8547c09a7a4c08bf69ae3a95c5c37f9e8f57e
取子串,第一个变量是源字符串,第二个变量无法查找,第三个变量猜测是下标,第四个变量是长度
各取一段替换后作为flag一部分
ByteCTF{c9838b3c-6810-8a3d-8a3c-8a3c6810bdb2}
2017iOS CTF
根据string两次交叉引用找到关键函数
self->password是输入,长度为32,与self->plain相比,相等且self->fg为0则missed
self->plain要从 ViewController 类里的-init 或 -viewDidLoad 等初始化函数中找
self->plain 从 secret.txt 中读取并base64解密
输入和pd前16位相等
if ( (unsigned int)objc_msgSend(v10, "isEqualToString:", v12) ){fg = self->fg;objc_release(v12);objc_release(v10);if ( !fg ){v14 = objc_msgSend(&OBJC_CLASS_$_UIAlertView, "alloc");v15 = objc_msgSend(v14,"initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:",CFSTR("Wrong~"),CFSTR("Sorry, you missed the flag!"),0LL,CFSTR("Ok"),0LL);objc_msgSend(v15, "show");v16 = v15;
LABEL_14:objc_release(v16);goto LABEL_15;}}else{objc_release(v12);objc_release(v10);}if ( self->fg ){NSLog(&stru_10000C488.isa, self->pd);v17 = 0LL;while ( 1 ){v18 = (unsigned int)objc_msgSend(v8, "characterAtIndex:", v17);if ( v18 != (unsigned int)objc_msgSend(self->pd, "characterAtIndex:", v17) )break;if ( ++v17 >= 16 ){v19 = 16LL;while ( 1 ){v20 = (unsigned __int8)objc_msgSend(v8, "characterAtIndex:", v19);v21 = (unsigned __int8)((unsigned __int8)objc_msgSend(self->pd, "characterAtIndex:", v19) ^ v20) + 5;v22 = v19 - 16;v23 = objc_msgSend(self->key, "objectAtIndex:", v22);v24 = objc_retainAutoreleasedReturnValue(v23);v25 = (unsigned __int8)objc_msgSend(v24, "intValue");objc_release(v24);if ( v21 != v25 )goto LABEL_15;v19 = v22 + 17;if ( v19 > 31 ){v26 = objc_msgSend(&OBJC_CLASS_$_NSString, "stringWithFormat:", CFSTR("flag{%@}"), v8);v27 = objc_retainAutoreleasedReturnValue(v26);v28 = objc_msgSend(&OBJC_CLASS_$_UIAlertView, "alloc");v29 = objc_msgSend(v28,"initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:",CFSTR("Congratulation!"),v27,0LL,CFSTR("Ok"),0LL);objc_msgSend(v29, "show");objc_release(v29);v16 = (UIAlertView *)v27;goto LABEL_14;}}}}}要想使得self->fg为1,在viewDidLoad中self->pd只能等于2333333333333,可是pd本身都没有16位
pd由generate生成
由generate方法决定比较的字符串
deb里的lib文件hook了generate方法
如果有环境的话可以直接把这个 dylib 拷贝到 /Library/MobileSubstrate/DynamicLibraries/ 目录下,让程序运行的时候加载
我这里没有环境,选择直接分析程序,首先获取并加载图片
取前 32 个字节中下标为奇数的字节,将 v6 的前16字符替换成混淆后的 v10
byte_7FA0 = [0x06, 0x41, 0x3A, 0x07, 0x59, 0x55, 0x04, 0x45,0x6B, 0x5E, 0x5F, 0x01, 0x5B, 0x6E, 0x58, 0x4B
]
def generate_custom_string(file_path):with open(file_path, "rb") as f:data = f.read(32)filtered = [data[i] for i in range(1, 32, 2)]hex_str = ''.join(f'{b:02x}' for b in filtered)transformed = ''for i in range(16):orig_char = ord(hex_str[i])xor_char = byte_7FA0[i] ^ orig_chartransformed += chr(xor_char)final_str = transformed + hex_str[16:]return final_strresult = generate_custom_string("flag_in_secret_.jpg")
print(result)
#by_7he0s_ho0k_ls4800e1647866004d后16位相互异或+5之后等于密文key
密文只有14位,猜测10和8重复出现
p1='by_7he0s_ho0k_ls'
pd='4800e1647866004d'
tmp=''
key=[112,16,86,72,33,115,9,12,9,16,10,10,8,8,19,82]
for i in range(len(key)):tmp+=chr((key[i]-5)^ord(pd[i]))
print(p1+tmp)
#by_7he0s_ho0k_ls_3asy_23333333:)超出部分用flag包裹即可
flag{by_7he0s_ho0k_ls_3asy_23333333:)}
hopper是一款专门针对ios逆向的工具,也可以考虑使用