MEDUZA
MEDUZA是一款针对iOS应用程序的通用SSL解绑工具,该工具基于Frida开发,可以当作SSLKillSwitch工具的替代品。本来我是想自己开发自己用的,而且原本并不打算开源出来。我个人不太喜欢开源,但棱角总会被磨平的…
工具运行机制
该工具的运行机制非常简单,当你首次运行一款应用程序并且没有开启网络嗅探的时候,也就是正常使用一款App的时候,MEDUZA会在后台静默执行,并收集App用于连接后台服务器时所使用的证书信息。接下来,MEDUZA会生成一个Frida脚本,并伪造(相当于解绑操作)一份收集到的证书。那么当你第二次运行这款应用程序时,我们就可以使用生成的脚本并配合中间人代理(Mitmproxy)来捕捉应用程序流量了。
工具限制
MEDUZA只能解绑那些使用iOS系统SSL库的应用程序,像Instagram(Instagram使用了OpenSSL)这样的应用程序并没有使用iOS系统SSL库,而是使用某些第三方自定义的SSL实现栈,那MEDUZA可就没办法了。
除此之外,MEDUZA跟SSLKillSwitch相比,使用了完全不同的功能实现方式。因此理论上来说,MEDUZA应该可以跟SSLKillSwitch等类似的工具结合起来一起使用,不过我还没有进行过测试。
工具要求
- 适用于macOS Majave及更新版本,也许MEDUZA能在Windows和Linux平台上运行,不过我也没有进行过测试。
- 一台已越狱的iOS设备,MEDUZA已在iPhone SE 2016(iOS 13.3)和iPhone 6s(iOS 14.0)上进行过测试,理论上来说MEDUZA也可以在其他iOS设备上运行。
- 需要在macOS和iOS设备上安装最新版本的Frida。
- 在macOS上安装好Mitmproxy。
- macOS和iOS设备需要使用USB数据线连接起来,并且连接到同一个WiFi网络。
- 在macOS上安装好Python3以及cryptography库,安装命令如下:
pip install cryptography工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
代码语言:javascript复制git clone https://github.com/kov4l3nko/MEDUZA.git如何嗅探HTTP(s)流量
该操作分两步,首先我们需要获取到目标应用程序绑定的所有证书,然后生成一个脚本来伪造这些证书,即解绑操作。需要注意的是,这一步必须在一开始就执行。接下来,你就可以使用生成的脚本来嗅探网络流量了。第一步操作的命令步骤如下:
1、在macOS上打开终端窗口,然后运行MEDUZA来枚举出iOS设备上安装/运行的应用程序:
代码语言:javascript复制$ python3 meduza.py -l命令的输出结果如下:
代码语言:javascript复制MEDUZA iOS SSL unpinning tool
by Dima Kovalenko (@kov4l3nko)
============================================================
[*] Waiting for an iOS device connected to USB...
[*] A list of installed applications:
Uber (com.ubercab.UberClient) is running, pid=40663
- Home (com.apple.Home)
- Files (com.apple.DocumentsApp)
- Podcasts (com.apple.podcasts)
- Contacts (com.apple.MobileAddressBook)
- Music (com.apple.Music)
- Photos (com.apple.mobileslideshow)
- TV (com.apple.tv)
App Store (com.apple.AppStore) is running, pid=40627
- Clock (com.apple.mobiletimer)
Settings (com.apple.Preferences) is running, pid=40619
- TikTok (com.zhiliaoapp.musically)
- Watch (com.apple.Bridge)
- FaceTime (com.apple.facetime)
- Maps (com.apple.Maps)
- Voice Memos (com.apple.VoiceMemos)
<...etc, you'll see remaining apps here...>2、确保iOS设备的WiFi设置是干净的,比如说,没有配置代理或指定自定义路由器IP等等。在第一步,我们不用尝试嗅探网络流量,因此WiFi网络连接应该跟往常一样。
3、选择目标应用程序,比如说Uber,然后使用下列命令运行MEDUZA:
代码语言:javascript复制$ python3 meduza.py -s <app name of id> <path/to/the/frida/script.js>目标应用程序为Uber:
代码语言:javascript复制$ python3 meduza.py -s com.ubercab.UberClient ./unpinUber.js这里的-s参数表明重新生成Uber客户端,如果你想要跟一个正在运行的App连接而不需要重新生成客户端的话,可以使用-a参数来代替-s。
运行结果如下:
代码语言:javascript复制MEDUZA iOS SSL unpinning tool
by Dima Kovalenko (@kov4l3nko)
============================================================
[*] Waiting for an iOS device connected to USB...
[*] Spawning com.ubercab.UberClient...
[*] Attaching to com.ubercab.UberClient...
[*] Reading JS payload meduza.js...
[*] Injecting JS payload to the process...
[*] SecCertificateCreateWithBytes(...) hooked!
[*] Resuming the application...
[*] Press ENTER to complete (you can do it anytime)...
[*] Got another certificate, its raw SHA256 hash: 99b05557bafde776f0afc15bbf6733585b8a03606cbf757158fb96324e01310a
crashlytics.com
reports.crashlytics.com
firebase-settings.crashlytics.com
apps-ios.crashlytics.com
android-sdk.crashlytics.com
api.crashlytics.com
settings-api.crashlytics.com
download.crashlytics.com
distribution-uploads.crashlytics.com
cm-us-east-1.crashlytics.com
www.crashlytics.com
try.crashlytics.com
kits.crashlytics.com
cm.crashlytics.com
apps.crashlytics.com
cm-ap-southeast.crashlytics.com
settings.crashlytics.com
e.crashlytics.com
[*] Got another certificate, its raw SHA256 hash: 954a9f7dd9f03784bdc5ca9183484a5bfc278ca9ba9f42b3a82f96cffddf277b
[*] Got another certificate, its raw SHA256 hash: 649a4665273e60b353fe9b4db1807d9669f82cb0ee85bd1e562e7c2f33fdec3a
*.cfe.uber.com
cfe.uber.com
cn-dca1.cfe.uber.com
[*] Got another certificate, its raw SHA256 hash: eae72eb454bf6c3977ebd289e970b2f5282949190093d0d26f98d0f0d6a9cf17
<...etc, you can see many messages about certificates, it's ok...>4、在App上执行正常操作,比如说登录账号,然后点一些按钮,或者注销登录之类的,也就是像正常用户一样操作。每当App使用证书来跟服务器进行通信连接时,MEDUZA都将捕捉到证书。
5、在App上完成正常操作之后,在终端窗口按下回车键。MEDUZA将生成一个脚本,比如说./unpinUber.js。
第一步操作完成之后,第二步就是使用脚本了:
1、在macOS终端窗口中运行下列命令来查看macOS的IP地址:
代码语言:javascript复制ifconfig | grep "inet "2、在macOS上运行Mitmproxy;
3、在你的iOS设备上,设置macOS的IP地址以及Mitmproxy端口(默认为8080),以作WiFi连接的代理;
4、运行目标程序对应的生成脚本,然后在macOS终端运行下列命令来解绑Uber应用程序证书:
代码语言:javascript复制$ frida -U -f com.ubercab.UberClient --no-pause -l ./unpinUber.js如何防止应用程序被MEDUZA攻击?
- 使用第三方SSL实现,比如说使用OpenSSL之类的来代替iOS系统SSL库;
- 你可以为你的App添加一些反Frida保护机制,因为MEDUZA基于Frida实现,如果Frida无法运行,那么MEDUZA也就无法运行了。
工具运行截图
项目地址
MEDUZA:https://github.com/kov4l3nko/MEDUZA
