IOS的apsd是Apple Push Service的相关进程,很多系统服务都跟他有关,比如iMessage、Homekit,因此想抓包查看他是怎么实现的。
1.搜索发现相关资料很少,只有多年前的一个相关演讲:https://blog.quarkslab.com/resources/2013-10-17_imessage-privacy/slides/iMessage_privacy.pdf
2.首先使用uncover越狱,尝试使用ssl-kill-switch2,发现并不成功,原因不明,发了issue不只一个人有这个问题。
3. 接下来尝试使用Frida来Hook SecTrustEvaluate(),参考博客https://kov4l3nko.github.io/blog/2018-05-27-sll-pinning-hook-sectrustevaluate/
发现是可行的,中间人能抓到客户端发出的第一个数据包,但是不明原因服务器并不会回复客户端请求。猜测是不是服务器验证了客户端的证书(从苹果官方资料中猜测是,但是我抓包没有看到标准的TLS握手中请求客户端证书),因此尝试使用keychain dumper获取客户端apsd使用的证书,并把证书设置给中间人。
4. 使用keychain的时候有坑,首先不支持IOS12,通过Issue 36修改entitlements.xml解决,特别注意需要下载源码按照说明重新build二进制才能使用,不然出现KILL 9错误。 参考pushProxy的教程,使用cydia安装openssl后使用KeychainDumper_signed -k (记得加-k参数)可获得私钥。换成-i参数获得证书。
悲剧的是,在mitmproxy里设置了客户端证书也不行,服务器还是不回复消息(毕竟没开中间人也没看到服务器要客户端证书啊),不知道发生了什么。剩下的只能靠自己或者研究一下多年前的pushProxy了。
5. 由于Hook SSL证书这条路出现了不明原因的bug,所以决定Hook SSL的收发函数。
首先调查苹果ssl的实现机制,可能是用的这个链接的coreTLS实现:https://opensource.apple.com/tarballs/
这里面源码就用了Hook发现确实在用的SecTrustEvaluate();收发函数观察发现是SSLWrite和SSLRead,注意大小写一定不能错!用frida-trace发现其实SSL_write()也有,但不知为何没有hook到调用。
最终问题解决可以看到收发的数据了,使用的代码如下:
1 import frida 2 import sys 3 4 5 def on_message(message, data): 6 try: 7 if message: 8 print("[*] Received data: {0}".format(message["payload"])) 9 except Exception as e: 10 print(message) 11 print(e) 12 13 14 def run_frida_script(): 15 with open("hook_sslReadWrite.js", "r") as f: 16 frida_script_code = f.read() 17 return frida_script_code 18 19 if __name__ == '__main__': 20 21 #For USB connection 22 session = frida.get_usb_device().attach("apsd") 23 script = session.create_script(run_frida_script()) 24 script.on('message', on_message) 25 script.load() 26 sys.stdin.read()
function main() { // Get SecTrustEvaluate address var SSLWrite_prt = Module.findExportByName("Security", "SSLWrite"); var SSLRead_prt = Module.findExportByName("Security", "SSLRead"); if (SSLWrite_prt == null || SSLRead_prt == NULL) { console.log("[Error] Security!SSLWrite/Read(...) not found!"); return; } //OSStatus SSLWrite(SSLContextRef context, const void *data, size_t dataLength, size_t *processed); Interceptor.attach(SSLWrite_prt, { onEnter: function (args) { console.log("SSLWrite(" + "" + ")"); this.data = args[1]; this.processed = args[3]; //send("onEnter SSLWrite"); //var length = args[2].toInt32(); //console.log(int64(args[2]).toInt32()); //send(Memory.readByteArray(args[1], parseInt(args[2]))); //console.log(Memory.readByteArray(args[1], length)); //console.log("SSLWrite() called from: " + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join(" ")); }, onLeave: function (retval) { //send("onLeave"); var status = retval.toInt32(); if (status === 0 && !this.processed.isNull()) { var data = Memory.readByteArray(this.data, Memory.readPointer(this.processed).toInt32()); console.log(data); } } }); //OSStatus SSLRead(SSLContextRef context, void *data, size_t dataLength, size_t *processed); Interceptor.attach(SSLRead_prt, { onEnter: function (args) { console.log("SSLRead(" + "" + ")"); this.data = args[1]; this.processed = args[3]; }, onLeave: function (retval) { var status = retval.toInt32(); if (status === 0) { var data = Memory.readByteArray(this.data, Memory.readPointer(this.processed).toInt32()); console.log(data); } } }); } // Run the script main();
后记:发现苹果没有一个公开的说明push service的文档,看到流量获得的信息也有限,最后只要再查资料+逆向了……