iOS 安全攻防 -- 越狱与砸壳

由于项目需要，需要对 IPA 做安全防护就做了个整理，在这边简述一下整体操作。这边就不多赘述，直接上干货，流程如下：

• 1. 手机越狱
• 2. 安装 SSH
• 3. 安装 CrackerXI+
• 4. 砸壳
• 5. 导包

1. 越狱

这边越狱直接借助 i4Tools 完成越狱操作，爱思助手暂时支持iOS 11 - iOS 14 的系统进行越狱操作，本人使用的是 iOS 13.1 的系统。
越狱步骤咱就不细说，可以直接参考爱思助手提供的 越狱教程。没成功多点几次就成功了，越狱的小事搞定后，就是开始安装砸壳的辅助软件。

越狱操作页面

好像uncOver用的人比较多，咱是用uncOver越狱后续就是跟着操作步骤走就完事了。

2. 安装 SSH

打开越狱后自带的软件 Cydia，在首页找到 OpenSSH 教程 ，具体如下图：

Cydia 首页

OpenSSH 教程页面点击 OpenSSH 富文本，如下图：

OpenSSH 教程

点击 OPEN 进行安装

OpenSSH 安装页面

OpenSSH 安装好后在后续导包的时候需要使用到，进行下一步安装CrackerXI+。

3. 安装 CrackerXI+

点击Cydia tabBar 栏的编辑，然后点击右上角的编辑，弹窗添加源https://cydia.iphonecake.com/。

编辑源页面

完成源的添加后，点击 Cydia tabBar 栏的 搜索 进入页面搜索下载安装 CrackerXI+，具体如下图：

搜索页面

后续就是安装操作了，咱就不多说了。

砸壳

砸壳的前提是，IPA有加壳。所以需要将 IPA 上传到 App Store 后苹果进行了加壳操作，如果未加壳的话CrackerXI+的AppList 列表上不会显示对应的 App。

首先，启动CrackerXI+ 软件，在 Settings页面开启 CrackerXI+ Hook 开关，具体如下：

Settings 页面

在AppList 列表上找到需要砸壳的 App，选中App，在弹窗中选择 YES, Full IPA项：

弹窗

等待砸壳后，弹窗中获取到砸壳包的完整 IPA 路径(包括文件名)，如下图:

IPA 路径

有了路径就可以将 IPA 包传输到 Mac 上。

导包

Mac 上开启 iTrem (终端)，执行以下命令:

# ip:  越狱手机的网络 ip 地址 
# ipaPath: IPA包砸壳后在 iPhone 上的完整路径 
# macPath: 需要将包导到 Mac 的文件路径
$ scp root@ip:ipaPath macPath
# scp root@ip:/var/mobile/Documents/CrackerXI/xxx.ipa ~/Desktop/
# 例如:  scp root@10.22.33.149:/var/mobile/Documents/CrackerXI/oversea_1.0.2_CrackerXI.ipa ~/Desktop/
# 输入SSH密码（如果没有修改默认为 alpine，如果不对可以查看 OpenSSH 教程 里面有对应的说明）
$ alpine

PS:

• iPhone 与 Mac 需要在同一个局域网内，否则 SSH 无法连接传输文件。
• 如果使用 ssh root@iphone-ip 连接了 iPhone，导出 ipa 的时候需要重新打开一个新的终端窗口，否则可能导致找不到 mac 的路径。

好了，拿到 IPA 包后想干啥就可以干啥了，比如想注入动态，可以查看咱的另一篇文章iOS 安全攻防--动态库注入
。