【网络安全】ios逆向一般整理

一般思路

将ipa文件后缀改为zip，解压之后进入Payload，会有一个.app文件夹，进去找到二进制文件就能放到ida里分析

main函数似乎都没什么用

一般都是直接搜字符串然后交叉引用找到关键函数继续分析

题目

2025数字中国app赛道IOSApp

题目描述：安全审计员审查发现revealFlag函数比较可疑，请分析代码，帮她找到与之相关的flag

搜索string找到一个拼接base64

swift就是用cpp写的，所以看上去很像cpp的风格

调用obfuscatedFlag.unsafeMutableAddressor()，表示从 obfuscatedFlag 获取 flag 的密文

Collection.map<A>(_:)(closure #1 in revealFlag(if:), ...)表示对 String 类型调用 map，对每一个加密字符应用了解密函数（revealFlag）

进入解密函数，Character.asciiValue.getter(); 表示获取字符的 ascii 值

result = UnsignedInteger<>.init<A>(_:)(&v15, ...);可能会让传入的 v15 的一部分（在内存中紧邻的数据）写入了 v16 的值，而v15等于1，也就是每个字符的ascii值都减一

2024ByteCTF极限逃脱

010查看格式，修改后缀后解压，直接搜索字符串发现flag格式

后面有uuid的字符串，直接交不对，且上面有a-f，猜测是某种映射

字符串交叉引用找到关键函数，下面分析整个函数

self相当于从内存加载，而输入的直接是最后的flag

{a67be199da4b-b092-bd3e-e777-a67be199da4b} sha256加密后得到6c9838a3c6810bdb2633ed5910b8547c09a7a4c08bf69ae3a95c5c37f9e8f57e

取子串，第一个变量是源字符串，第二个变量无法查找，第三个变量猜测是下标，第四个变量是长度

各取一段替换后作为flag一部分

ByteCTF{c9838b3c-6810-8a3d-8a3c-8a3c6810bdb2}

2017iOS CTF

根据string两次交叉引用找到关键函数

self->password是输入，长度为32，与self->plain相比，相等且self->fg为0则missed

self->plain要从 ViewController 类里的-init 或 -viewDidLoad 等初始化函数中找

self->plain 从 secret.txt 中读取并base64解密

输入和pd前16位相等

  if ( (unsigned int)objc_msgSend(v10, "isEqualToString:", v12) ){fg = self->fg;objc_release(v12);objc_release(v10);if ( !fg ){v14 = objc_msgSend(&OBJC_CLASS_$_UIAlertView, "alloc");v15 = objc_msgSend(v14,"initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:",CFSTR("Wrong~"),CFSTR("Sorry, you missed the flag!"),0LL,CFSTR("Ok"),0LL);objc_msgSend(v15, "show");v16 = v15;
LABEL_14:objc_release(v16);goto LABEL_15;}}else{objc_release(v12);objc_release(v10);}if ( self->fg ){NSLog(&stru_10000C488.isa, self->pd);v17 = 0LL;while ( 1 ){v18 = (unsigned int)objc_msgSend(v8, "characterAtIndex:", v17);if ( v18 != (unsigned int)objc_msgSend(self->pd, "characterAtIndex:", v17) )break;if ( ++v17 >= 16 ){v19 = 16LL;while ( 1 ){v20 = (unsigned __int8)objc_msgSend(v8, "characterAtIndex:", v19);v21 = (unsigned __int8)((unsigned __int8)objc_msgSend(self->pd, "characterAtIndex:", v19) ^ v20) + 5;v22 = v19 - 16;v23 = objc_msgSend(self->key, "objectAtIndex:", v22);v24 = objc_retainAutoreleasedReturnValue(v23);v25 = (unsigned __int8)objc_msgSend(v24, "intValue");objc_release(v24);if ( v21 != v25 )goto LABEL_15;v19 = v22 + 17;if ( v19 > 31 ){v26 = objc_msgSend(&OBJC_CLASS_$_NSString, "stringWithFormat:", CFSTR("flag{%@}"), v8);v27 = objc_retainAutoreleasedReturnValue(v26);v28 = objc_msgSend(&OBJC_CLASS_$_UIAlertView, "alloc");v29 = objc_msgSend(v28,"initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:",CFSTR("Congratulation!"),v27,0LL,CFSTR("Ok"),0LL);objc_msgSend(v29, "show");objc_release(v29);v16 = (UIAlertView *)v27;goto LABEL_14;}}}}}

要想使得self->fg为1，在viewDidLoad中self->pd只能等于2333333333333，可是pd本身都没有16位

pd由generate生成

由generate方法决定比较的字符串

deb里的lib文件hook了generate方法

如果有环境的话可以直接把这个 dylib 拷贝到 /Library/MobileSubstrate/DynamicLibraries/ 目录下，让程序运行的时候加载

我这里没有环境，选择直接分析程序，首先获取并加载图片

取前 32 个字节中下标为奇数的字节，将 v6 的前16字符替换成混淆后的 v10

byte_7FA0 = [0x06, 0x41, 0x3A, 0x07, 0x59, 0x55, 0x04, 0x45,0x6B, 0x5E, 0x5F, 0x01, 0x5B, 0x6E, 0x58, 0x4B
]
def generate_custom_string(file_path):with open(file_path, "rb") as f:data = f.read(32)filtered = [data[i] for i in range(1, 32, 2)]hex_str = ''.join(f'{b:02x}' for b in filtered)transformed = ''for i in range(16):orig_char = ord(hex_str[i])xor_char = byte_7FA0[i] ^ orig_chartransformed += chr(xor_char)final_str = transformed + hex_str[16:]return final_strresult = generate_custom_string("flag_in_secret_.jpg")
print(result)
#by_7he0s_ho0k_ls4800e1647866004d

后16位相互异或+5之后等于密文key

密文只有14位，猜测10和8重复出现

p1='by_7he0s_ho0k_ls'
pd='4800e1647866004d'
tmp=''
key=[112,16,86,72,33,115,9,12,9,16,10,10,8,8,19,82]
for i in range(len(key)):tmp+=chr((key[i]-5)^ord(pd[i]))
print(p1+tmp)
#by_7he0s_ho0k_ls_3asy_23333333:)

超出部分用flag包裹即可

flag{by_7he0s_ho0k_ls_3asy_23333333:)}

hopper是一款专门针对ios逆向的工具，也可以考虑使用