[목차]

 

1. Runtime Manipulation

2. 런타임 조작 실습

     - 클래스/메서드 검색하여 실습

     - 기드라 분석 실습

 

 

 

 

 

 

1. Runtime Manipulation

     – 런타임 조작은 앱이 실행될 때 흐름 조작 및 정보 유출 등이 가능한 취약점

          > 탈옥 탐지 우회 역시 런타임 조작 취약점으로 볼 수 있음

     – 런타임 조작을 사용하여 인스턴스 변수를 수정하고,

        로컬 로그인 검사를 우회하고, 무차별 강제 핀 코드를 사용 가능

 

 

 

 

2. 런타임 조작 실습

# 공략 방법

분석 방법 정하기(디버깅으로 주솟값+반환값 확인 또는 클래스 검색)

> 힌트 찾기 > 분석 방법에 따른 코드 작성 > 응답 값 변조

 

 

# 힌트 키워드 찾기

DVIA 앱에서 [Runtime Manipulation] 메뉴 선택 후

Login Method 1 팝업 내 에러 메시지 확인

 

- 데이터 미 입력 후 로그인 시도 시

 

Error

One or more input fields is empty

 

 

 

- 입력한 계정정보가 맞지 않는 경우 에러 메시지

Oops

Incorrect Username or Password

 

 

 

어느 경우든 로그인 시 입력 값을 검증하기 때문에

키워드는 Login이 될 수 있고 Ghidra로 분석해

변조하는 경우에는 에러 메시지 문구 자체를

검색하면 되겠다.

 

 

 

# 클래스 검색하여 조작 실습

(1) 클래스 찾기

// (1) ObjC 라는 문법 사용 및 실행이 가능한지 확인
if(ObjC.available){    
	for(var classname in ObjC.classes)
		console.log(classname)	
}
 

찾으려는 클래스의 키워드는 Login

 

 

 

 

(2) 메서드 찾기

if(ObjC.avaliable){
    var classname = "LoginValidate"
    var methods = ObjC.classes[classname].$ownMethods
    //console.log(methods)
    for(var i=0 ; i<methods.length ; i++){
        console.log(methods[i])
    }
}
 

 

 

 

(3) 반환 값 확인

if(ObjC.available){
	var classname = "LoginValidate"
	var methodname = "isLoginValidated"
	var hook = ObjC.classes[classname][methodname]
	
	Interceptor.attach(hook.implementation,{
		onLeave:function(retval){
            console.log("Runtime 조작")
			console.log("[+] 클래스 명: " + classname)
			console.log("[+] 메소드 명: " + methodname)
			console.log("[+] 반환 값 타입: " + hook.returnType)
			console.log("[+] 반환 값: " + retval)
		}
	})
}
 

 

boolean 타입이고 현재 반환 값은 0,

해당 값을 1로 조작해 주면

로그인 우회가 가능하겠다.

 

 

 

 

(4) 변조 시도

if(ObjC.available){
	var classname = "LoginValidate"
	var methodname = "isLoginValidated"
	var hook = ObjC.classes[classname][methodname]
	
	Interceptor.attach(hook.implementation,{
		onLeave:function(retval){
			console.log("Runtime 조작")
			console.log("[+] 클래스 명: " + classname)
			console.log("[+] 메소드 명: " + methodname)
			console.log("[+] 반환 값 타입: " + hook.returnType)
			console.log("[+] 반환 값: " + retval)
			
			var new_retval = ptr("0x1")
			retval.replace(new_retval)
		}
	})
}
 

 

 

 

로그인 인증 우회 성공!

 

 

 

# 전체 코드

 

/*
// (1) 클래스 찾기
if(ObjC.available){
	for(var classname in ObjC.classes)
		console.log(classname)	
}


// (2) 메서드 찾기
if(ObjC.available){
	var classname = "LoginValidate"
	var methods = ObjC.classes[classname].$ownMethods
	//console.log(methods)
	for(var i=0 ; i<methods.length ; i++){
		console.log(methods[i])
	}
}

// (3) 반환 값 확인
if(ObjC.available){
	var classname = "LoginValidate"
	var methodname = "isLoginValidated"
	var hook = ObjC.classes[classname][methodname]
	
	Interceptor.attach(hook.implementation,{
		onLeave:function(retval){
			console.log("Runtime 조작")
			console.log("[+] 클래스 명: " + classname)
			console.log("[+] 메소드 명: " + methodname)
			console.log("[+] 반환 값 타입: " + hook.returnType)
			console.log("[+] 반환 값: " + retval)
		}
	})
}
*/

// (4) 반환 값 조작
if(ObjC.available){
	var classname = "LoginValidate"
	var methodname = "isLoginValidated"
	var hook = ObjC.classes[classname][methodname]
	
	Interceptor.attach(hook.implementation,{
		onLeave:function(retval){
			console.log("Runtime 조작")
			console.log("[+] 클래스 명: " + classname)
			console.log("[+] 메소드 명: " + methodname)
			console.log("[+] 반환 값 타입: " + hook.returnType)
			console.log("[+] 반환 값: " + retval)
			
			var new_retval = ptr("0x1")
			retval.replace(new_retval)
			console.log("[+] 변조 시킨 반환 값 : " + new_retval)
			console.log("[+] 로그인 우회 성공!!!!!!!!!!!!!")
		}
	})
}
 
 

 

 

 

 

 

 

# 기드라 사용 실습

 

(1) 로직 확인

(1-1) 키워드 검색으로 참조하고 있는 주소 확인

총 세 군데에서 참조 중인데

Application Patching 어쩌구는

다른 취약점 항목이라 넘어가고

나머지 두 곳만 보면 되겠다.

 

(1-2) 분기점 및 반환 값 확인

 

분기점에서 값이 0인 경우(If)

아래로 내려가 Incorrect~ 에러가

뜨는데 이를 1로 변환 시

목표 지점인 오른쪽으로

우회 시킬 수 있겠다.

 

(1-3) 분기점 주소 확인

0x1bd314

(2) DVIA 바이너리 변조

코드 작성 후

//(1) 실 주소 확인 후 변조
var realBase = Module.findBaseAddress('DVIA-v2')
console.log("[+] ASLR로 바뀐 바이너리 실제 메모리 주소 : " + realBase)

var jailBreak_address = realBase.add('0x1bd314')
console.log("[+] 분기점 실제 주소 : " + jailBreak_address)


//(2) 반환 값 변조 
Interceptor.attach(jailBreak_address,{
	onEnter:function(args){
		console.log("[+] 변조 전 반환 값 : ")
		console.log(JSON.stringify(this.context))
		this.context.x0 = 0x1
		console.log("[+] 변조 후 반환 값 : ")
		console.log(JSON.stringify(this.context))
	}
})
 

 

돌려보면

인증 우회 성공!

 

 

 

 

[도움 출처]

: 보안프로젝트 김태영 팀장 iOS 모바일 앱 모의해킹(기초) 강의

 

 

728x90
저작자표시

'APP 진단 > iOS' 카테고리의 다른 글

16. Runtime Manipulation - 인증 우회 실습 3 (Brute Force)  (0) 2022.11.21
15. Runtime Manipulation - 인증 우회 실습 2  (0) 2022.11.20
13. Sensitive Information in Memory  (0) 2022.11.20
12. Exccesive Permissions  (0) 2022.11.19
11. Fairplay DRM 복호화  (2) 2022.11.19

+ Recent posts

티스토리툴바