首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. iOS安全
    3. 发新帖
[原创]某绿书Shaeld算法Chomper黑盒调用
发表于: 2025-2-22 14:19 12679

[原创]某绿书Shaeld算法Chomper黑盒调用

mb_aoooaosd 活跃值
2025-2-22 14:19
12679

#wangdeifa Shaeld算法Chomper黑盒调用
文章仅用来展示Chomper的能力,请勿用于非法用途
从安卓还原算法过程得知需要初始化设置一个Token
这里也不需要其他多余的部环境操作。
chomper 地址:867K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6L8r3g2V1k6$3g2Z5y4s2N6Q4x3V1k6U0K9r3!0E0M7r3g2J5

从frida-trace无法得知初始化做了什么,只能看到具体的算法调用逻辑。

无法从frida-trace得知初始化的值,只能在dlopen 之后做
file
代码如下:从frida-trace得知wangdeifa的相关初始化函数。

基础框架请看上一篇文章 某王得发sig13-ios算法Chomper黑盒调用
如下代码就初始化完成

##主动调用

这里还是比较复杂一点,根据frida-trace的代码得知,需要传入一个NSMutableURLRequest对象,需要构造。问下ai
file
如下代码就构造好req对象。

直接使用作者的pyobj2nsobj,如下代码就是将py的dict转为oc里面的dic

下面就是算法入参

上边的构造传入,并主动调用之后就会得出结果。

file

           /* TID 0x103 */
   863 ms  +[wangdeifa reqAuthorityWithHeaders:<CFBasicHash 0x283b31740 [0x201426858]>{type = mutable dict, count = 10,
entries =>
    0 : Accept-Language = zh-Hans;q=1, en;q=0.9
    1 : X-B3-TraceId = a4e86b06fbe691f3
    2 : Connection = Keep-Alive
    3 : Mode = rawIp
    4 : X-raw-ptr = 0
    7 : Host = edith.wangdeifa.com
    9 : User-Agent = wangdeifa/7.1 (iPhone; iOS 16.7.10; Scale/2.00) Resolution/750*1334 Version/7.1 Build/7010202 Device/(Apple Inc.;iPhone10,1) NetType/WiFi
    10 : wangdeifa-platform-info = platform=iOS&version=7.1&build=7010202&deviceId=C53A986E-875F-4FE2-9C49-BC1DD280E337&bundle=com.xingin.discover
    11 : Accept-Encoding = br;q=1.0, gzip;q=1.0, compress;q=0.5
    12 : wangdeifa-common-params = app_id=ECFAAF02&build=7010202&deviceId=C53A986E-875F-4FE2-9C49-BC1DD280E337&device_fingerprint=2025022115160335e8c03be20ba5b6b300c149f76fc3f50123d7e2b8cb1cf6&device_fingerprint1=2025022115160335e8c03be20ba5b6b300c149f76fc3f50123d7e2b8cb1cf6&fid=1740122163-0-0-970427ae7226e33071bdefb4866c668a&identifier_flag=0&lang=zh-Hans&launch_id=761816146&platform=iOS&project_id=ECFAAF&sid=session.1740122519639795203705&t=1740123589&tz=Asia/Shanghai&uis=light&version=7.1
}
 request:0x282c35e00 bodyData:nil]
           /* TID 0x103 */
   863 ms  +[wangdeifa reqAuthorityWithHeaders:<CFBasicHash 0x283b31740 [0x201426858]>{type = mutable dict, count = 10,
entries =>
    0 : Accept-Language = zh-Hans;q=1, en;q=0.9
    1 : X-B3-TraceId = a4e86b06fbe691f3
    2 : Connection = Keep-Alive
    3 : Mode = rawIp
    4 : X-raw-ptr = 0
    7 : Host = edith.wangdeifa.com
    9 : User-Agent = wangdeifa/7.1 (iPhone; iOS 16.7.10; Scale/2.00) Resolution/750*1334 Version/7.1 Build/7010202 Device/(Apple Inc.;iPhone10,1) NetType/WiFi
    10 : wangdeifa-platform-info = platform=iOS&version=7.1&build=7010202&deviceId=C53A986E-875F-4FE2-9C49-BC1DD280E337&bundle=com.xingin.discover
    11 : Accept-Encoding = br;q=1.0, gzip;q=1.0, compress;q=0.5
    12 : wangdeifa-common-params = app_id=ECFAAF02&build=7010202&deviceId=C53A986E-875F-4FE2-9C49-BC1DD280E337&device_fingerprint=2025022115160335e8c03be20ba5b6b300c149f76fc3f50123d7e2b8cb1cf6&device_fingerprint1=2025022115160335e8c03be20ba5b6b300c149f76fc3f50123d7e2b8cb1cf6&fid=1740122163-0-0-970427ae7226e33071bdefb4866c668a&identifier_flag=0&lang=zh-Hans&launch_id=761816146&platform=iOS&project_id=ECFAAF&sid=session.1740122519639795203705&t=1740123589&tz=Asia/Shanghai&uis=light&version=7.1
}
 request:0x282c35e00 bodyData:nil]
let dlopen = Module.findExportByName(null, "dlopen");
 
Interceptor.attach(dlopen, {
    onEnter: function (args) {
        this.hook = false
        if ((args[0].readUtf8String() + '').indexOf("XYSecureShield") > -1) {
            this.hook = true;
        }
    }, onLeave: function (retval) {
        if (this.hook) {
            var methodName = "+ setup:build:key:";
            var hooking = ObjC.classes["wangdeifa"][methodName];
// console.log(hooking, 'hooking')
            Interceptor.attach(hooking.implementation, {
                onEnter: function (args) {
                    console.log(ObjC.Object(args[2]), ObjC.Object(args[3]), ObjC.Object(args[4]))
                }, onLeave: function (returnValues) {
                }
            });
            var methodName = "+ setToken:";
            var hooking = ObjC.classes["wangdeifa"][methodName];
// console.log(hooking, 'hooking')
            Interceptor.attach(hooking.implementation, {
                onEnter: function (args) {
                    console.log("setToken", ObjC.Object(args[2]))
                }, onLeave: function (returnValues) {
                }
            });
            let module_name = "XYSecureShield"
            var base_addr = Module.findBaseAddress(module_name);
// console.log(hooking, 'hooking')
            Interceptor.attach(base_addr.add(0x969C), {
                onEnter: function (args) {
                    console.log("0x969C")
                }, onLeave: function (returnValues) {
                }
            });
        }
    }
});
let dlopen = Module.findExportByName(null, "dlopen");
 
Interceptor.attach(dlopen, {
    onEnter: function (args) {
        this.hook = false
        if ((args[0].readUtf8String() + '').indexOf("XYSecureShield") > -1) {
            this.hook = true;
        }
    }, onLeave: function (retval) {
        if (this.hook) {
            var methodName = "+ setup:build:key:";
            var hooking = ObjC.classes["wangdeifa"][methodName];
// console.log(hooking, 'hooking')
            Interceptor.attach(hooking.implementation, {
                onEnter: function (args) {
                    console.log(ObjC.Object(args[2]), ObjC.Object(args[3]), ObjC.Object(args[4]))
                }, onLeave: function (returnValues) {
                }
            });
            var methodName = "+ setToken:";
            var hooking = ObjC.classes["wangdeifa"][methodName];
// console.log(hooking, 'hooking')
            Interceptor.attach(hooking.implementation, {
                onEnter: function (args) {
                    console.log("setToken", ObjC.Object(args[2]))
                }, onLeave: function (returnValues) {
回复或点赞可查看完整内容

[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!

最后于 2025-4-1 09:01 被mb_aoooaosd编辑 ,原因:
收藏
免费 132
支持
分享
最新回复 (128)
看snowadfad
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
2
666
2025-2-22 18:18
0
MaYil
雪    币: 8622
活跃值: (6357)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
感谢分享
2025-2-22 18:49
0
海涯苦舟
雪    币: 428
活跃值: (173)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
666
2025-2-22 22:56
0
kingking888
雪    币: 2422
活跃值: (4670)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
666
2025-2-23 00:36
0
fenfei331
雪    币: 343
活跃值: (2682)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
666
2025-2-23 10:25
0
我不是大神丿
雪    币: 39
活跃值: (1516)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
私信
7
2025-2-23 10:34
0
Imxz
雪    币: 104
活跃值: (7134)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
666666
2025-2-23 12:07
0
suiyuani
雪    币: 5312
活跃值: (4549)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
看看
2025-2-23 13:29
0
李小木子
雪    币: 230
活跃值: (1531)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
看看
2025-2-23 13:41
0
mb_rsxcfqlj
雪    币: 200
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
11
2025-2-23 15:12
0
皮皮虾啊
雪    币: 1840
活跃值: (6057)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
12
666
2025-2-23 23:58
0
mb_wdzhnevo
雪    币: 768
活跃值: (1933)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
我测试了下Chomper没法调用字节系的APP,说是UC_ERR_FETCH_UNMAPPED未映射的内存区域读取数据
2025-2-24 02:55
0
wx_插曲
雪    币: 204
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
14
66
2025-2-24 10:17
0
豆浆与油条
雪    币: 111
活跃值: (504)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
66666666
2025-2-24 10:55
0
ONewTach
雪    币: 242
活跃值: (3330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
666
2025-2-24 11:00
0
jerryxjtu
雪    币: 216
活跃值: (874)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
17
666
2025-2-26 17:29
0
DirtyAngle
雪    币: 769
活跃值: (5404)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
18
1
2025-2-27 10:20
0
丁海洋
雪    币: 44
活跃值: (1212)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
666
2025-2-27 10:46
0
mb_tmprtbau
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
20
66666
2025-2-27 10:53
0
黎明与黄昏
雪    币: 5630
活跃值: (5755)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
21
厉害
2025-2-27 14:19
0
不具名的悲伤
雪    币: 1
活跃值: (975)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
666
2025-2-27 16:48
0
log2
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
23
666
2025-2-27 20:11
0
大魔头
雪    币: 178
活跃值: (3056)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
24
666
2025-2-28 10:48
0
三明治拉拉
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
25
666
2025-2-28 10:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回