Logo
Overview

Frida Playgroundで実践練習をする #02

tkgstrator tkgstrator
November 26, 2023
1 min read
macOS iOS Jailbreak Frida

Frida Playground

Frida ios playground

から実戦経験が積めます。

インストール用のIPAも配布されているのでSideloadlyでちゃちゃっとインストールしてしまいましょう。

Challenges

早速簡単な方から解いていきます。

適当にインストールしたせいでBundle IDがわからないので調べます。

Terminal window
$ frida-ps -Ua
 PID  Name                    Identifier
----  ----------------------  ------------------------
2069  AppStore                com.apple.AppStore
2060  Nintendo Switch Online  com.nintendo.znca
3130  Playground              eu.nviso.fridaplayground
2033  Search                  com.apple.Spotlight
1993  Settings                com.apple.Preferences
2039  Sileo                   org.coolstar.SileoStore
2068  palera1nLoader          com.samiiau.loader

というわけでeu.nviso.fridaplaygroundという値であることがわかりました。

2.1 Switch implementation (ObjC.implement)

ObjC.implementを使ってボタンを押したときに本来呼ばれるlose()に代えてwin()を実行するというものです。

Objc.chooseSync

正解手ではないですがいろいろ解法を載せておきます。

function solve201() {
    const method = VulnerableVault['- lose'];
    Interceptor.attach(method.implementation, {
        onEnter: function (args) {
            const object = ObjC.chooseSync(VulnerableVault)[0];
            object.win();
        },
    })
}

Vulnerable

method.implmentationがそのメソッドの処理を持っているのでメソッドの処理自体を置き換えます。

なのでイメージとしては以下のような感じです。

function solve201() {
    VulnerableVault['- lose'].implementation = VulnerableVault['- win'].implementation;
}

で、実際にこれは正しく動作します。

function solve201() {
    const method = VulnerableVault['- lose'];
    method.implementation = VulnerableVault['- win'].implementation;
}

値渡しではなく参照渡しになっているのでこちらの書き方でも大丈夫です。

Objc.implement

正攻法で解きます。

function solve201() {
    const method = VulnerableVault['- lose'];
    method.implementation = ObjC.implement(method, function (handle, selector) {
        ObjC.Object(handle).win();
    })
}

こちらであれば長いコードを書くことができます。

2.2 Switch implementation (Interceptor.replace)

使い方がいまいちわからないです。

さっぱりわからないので答えを見ました。

function solve202() {
    const method = VulnerableVault["- lose"];
    Interceptor.replace(method.implementation, new NativeCallback(function(instance, selector) {
        ObjC.Object(instance).win();
    }, 'void', ['pointer', 'pointer']));
}

NativeCallbackの使い方がいまいち分かりません。特に後半のポインターを指定しているのはなんですかこれ。

2.3 Hook exported function

isSecureがTrueを返すように変更しろとのこと。

で、Hopper Disassemblerで調べてもisSecureというメソッドはありません。

調べてみるとisSecureはiOS 2.0から実装されている標準ライブラリらしいです。

メソッドを読み込むには以下のコードを書きます。

const method = Module.findExportByName(null, "isSecure");

このメソッドが実行されたときの処理を書き換えたいので、

    Interceptor.attach(method.implementation, {
        onEnter: function (args) {
            const object = ObjC.chooseSync(VulnerableVault)[0];
            object.win();
        },
    })

まとめ