本文的目的是帮你进入移动应用程序渗透测试，虽然在Android上起步相对容易，但在iOS上起步就难了。例如，虽然Android有Android虚拟设备和其他一些第三方模拟器，但iOS只有一个Xcode的iOS模拟器，它模拟的是iPhone的程序环境，而不是硬件。因此，iOS应用渗透测试需要一个实际的操作系统设备。

而且，即使绕过SSL证书固定等基本操作也很麻烦。 Portswigger的Burp Suite Mobile Assistant需要安装到越狱设备上，并且只能在iOS 9及更低版本上使用。

很长一段时间以来，iOS 渗透测试指南都建议在eBay上购买带有不支持的iOS版本的旧iPhone。比如Yogendra Jaiswal的优秀指南，是基于Unc0ver越狱，它在iOS 11.0-12.4上工作。如果你没有该范围内的苹果设备，你就没那么幸运了。

幸运的是，随着checkra1n破解版的发布，A5-A11版的iPhone、iPad和iPods最新版的iOS现在可以破解了。许多iOS应用程序测试工具在漫长的越狱冬天都处于休眠状态，现在它们正在迎头赶上，新的工具也即将发布。

现在，我正在编写具有checkra1n越狱功能的现代设备上iOS应用程序渗透测试的快速入门指南，并将不同工具的设置指南合并到一处。

快速入门

硬件

让我们从基础开始。你需要一个A5-A11的苹果设备，最好是iPhone。我用的是iPhone 8。多亏了checkra1n，你不必担心iOS版本，到目前为止，它支持最新的iOS 13.3。

不幸的是，checkra1n目前需要macOS设备，但是Windows和Linux支持也正在研发中。

越狱

破解你的苹果设备会大大削弱你的安全态势，你不应该在你的主设备上执行此操作。事实上，除了渗透测试，你不应该使用越狱设备做任何事情。

请注意，每次你重启iPhone，以前的checkra1n越狱都会失败，所以你必须重新越狱一次。

1.在 https://checkra.in/下载最新的checkra1n越狱工具；

2.将你的iPhone连接到macOS设备，然后通过应用程序→右键单击checkra1n→打开来打开checkra1n。

3.解锁iPhone，然后在checkra1n中单击“开始”；

4.按着checkra1n中的其余步骤，并根据需要重新启动；

此时，你就有一个越狱的iPhone。

Cydia

这非常简单，在越狱的iPhone上，打开checkra1n应用程序，然后点击“安装”部分的“Cydia”。

现在你已经有了Cydia，可以安装几个程序包来帮助你进行测试，稍后我会详细介绍。

iProxy

虽然你可以通过无线网络SSH到你的iPhone上，但是通过USB来做会更快更可靠。

1.brew install libusbmuxd；

2.iproxy 2222 22；

3.在另一个终端中，运行ssh [email protected] -p 2222；

4.输入密码alpine；

5.现在你的iPhone中应该有一个SSH会话；

这样做的的一个好处是，你还可以使用像FileZilla这样的客户端，通过SFTP在iPhone上传输文件。只需选择SFTP协议，将你的主机设置为localhost，并将端口设置为2222。

Objection和Frida

是时候安装我最喜欢的两个移动应用测试工具了，Objection和Frida，objection是由Frida提供的可以对移动平台的runtime进行检测的工具包。该工具包目前只在iOS上，其旨在允许您能够在非越狱iOS设备runtime时，在其未加密的iOS应用程序上执行各种安全相关的任务。在这里我不会详细介绍它们的用法，只介绍它们的设置。Frida有一个iOS指南，请点此参考。

1.在macOS设备上运行pip3 install frida-tools；

2.在你的iPhone上，打开Cydia，进入source→Edit→add，并输入https://build.frida.re添加Frida的存储库。

3.进入搜索→输入Frida→安装；

4.回到macOS设备上，运行pip3 install objection；

5.最后，运行objection –gadget "com.apple.AppStore" explore检查所有内容是否被正确集成

代理流量以及绕过Cert Pinning

通过Burp套件代理流量，可以按着以下操作：

1. 在Burp Suite上，执行以下步骤：代理→选项→代理侦听器→添加→绑定到端口：1337→绑定到地址：所有接口（或选择特定地址）→“确定”；

2.在你的iPhone上，执行以下步骤：设置→Wi-Fi→信息→配置代理→手动→设置服务器和端口；

3.在你的iPhone上，执行以下步骤：转到http://burp→单击“ CA证书”→下载配置文件→设置→常规→配置文件和设备管理→Portswigger CA→安装；

现在除了使用证书固定的应用程序，应该通过Burp代理流量。幸运的是，SSL Kill Switch 2 https://github.com/nabla-c0d3/ssl-kill-switch2Cert Pinning绕过工具最近已经可以支持iOS 13了。

1.要确保在Cydia中安装了以下程序包：wget, Debian Packager, Cydia Substrate, PreferenceLoader； 

2.进入SSL Kill Switch 2发布页面，将链接复制到最新的.deb发布

3.通过SSH进入iPhone（请参阅上面的iProxy部分），然后运行wget <RELEASE URL FROM STEP 2> → dpkg -i <DOWNLOADED PACKAGE NAME> → killall -HUP SpringBoard → rm <DOWNLOADED PACKAGE NAME>；

4.在你的iPhone上，进入“设置”→“SSL Kill Switch 2”（应该在底部）→“禁用证书验证”；

绕过越狱检测

越狱检测很烦人但可以解决，在目前所有支持iOS 13的程序中，我发现Liberty Lite Cydia模块工作得最稳定。

1.在你的iPhone上，打开Cydia并通过进入Sources→Edit→Add设置，输入https://ryleyangus.com/repo/添加模块作者Ryley Angus的存储库。

2.进入搜索→进入Liberty Lite→安装；

3.安装完成后，进入设置→自由→阻止越狱检测→允许你想要绕过的应用程序；

4.退出并重新打开你的应用程序，如果它仍然没有被绕过，你可以尝试其他模块。

转储程序文件

与Android apk文件不同的是，iOS应用程序是以加密的ipa文件的形式存储的，因此很难访问和分析。安装了iproxy和Frida之后，我们可以在运行时使用Frida -ios-dump执行此操作。

1.在你的macOS设备上，git clone https://github.com/AloneMonkey/frida-ios-dump.git && cd frida-ios-dump；

2.sudo pip3 install -r requirements.txt –upgrade；

3.在另一个终端中，如果尚未运行iproxy 2222 22，请运行它；

4.要转储应用程序的文件，./dump.py <APP DISPLAY NAME OR BUNDLE IDENTIFIER>；

通常，我喜欢对我的工具进行符号链接，这样就可以使用ln -s <ABSOLUTE PATH TO dump.py> /usr/local/bin/dump-ipa从我的PATH轻松访问它。现在，每当我想要转储应用程序时，我可以在任何地方使用dump-ipa命令。

有了这个快速入门指南，你现在就有了开始iOS应用渗透测试的基本工具。

本文翻译自：https://spaceraccoon.dev/from-checkra1n-to-frida-ios-app-pentesting-quickstart-on-ios-13如若转载，请注明原文地址： https://www.4hou.com/web/22209.html