Tyrellcode

최근 괜찮은 탈옥 툴이 나와서 게시글을 작성한다.

Dopamine 이라는 툴인데 해당 툴의 경우 Checkra1n나 palera1n 처럼 컴퓨터가 필요 없다.

장점은 언제나 폰이 꺼지면 dopamine을 켜서 탈옥 누르면 바로 탈옥이 완료된다는 것이다. 추가적으로 탈옥 우회 기능도 탑제하고 있어서 활성화 시 탈옥 탐지 우회를 높은 확률로 성공한다.

해당 툴 사용 가능한 버전과 기기는 아래와 같다

iOS and ipadOS:

15.0
15.0.1
15.0.2
15.1
15.1.1

15.2
15.2.1
15.3
15.3.1
15.4

15.4.1

https://ellekit.space/dopamine/

우선 설치를 위해서는 트롤스토어 설치가 우선 시 된다.

https://github.com/opa334/TrollStore/releases/tag/1.5.1

아이폰 Safari로 트롤스토어를 다운받는다.

설치하면 GTACarTracker가 생성 되는데 해당 앱으로 접속한다.

접속 시 Install TrollStore 버튼이 있어서 설치 시 TrollStore가 설치된다. 매우 쉽다.

그 후 아래 경로로 최신 dopamine을 다운 받는다.

https://github.com/opa334/Dopamine/releases/tag/1.1.10

필자의 경우 타 개발자가 기존 dopamine에서 Roothide 기능을 추가한 Roothide dopamine을 설치했다.

https://github.com/RootHide/Dopamine-roothide/releases/tag/1.0.6

다운로드 후 내보내기를 통해 TrollStore로 해당 설치파일을 열어 Install

설치된 도파민 앱 접속 시 탈옥 버튼이 있는데 이것만 누르면 탈옥이 완료된다.

탈옥 중인 Dopamine 완료 시 아래와 같이 "탈옥이 되었습니다"라는 문구가 나오게 된다.

그러면 Sileo와 RootHide가 설치되는데 이제 관련 트윅을 다운로드 받아 설치하면  커스텀하여 아이폰 사용이 가능하다.

RootHide 트윅의 경우 RootHide dopamine에서만 나타나고 탈옥 탐지 우회를 더 강하게 해준다는데 우선 한번 더 확인이 필요하다.

한가지 조심해야할 점은 frida를 직접 앱에 붙이기 위해서는 Pid로 붙어야지 패키지명으로 하면 자체 탈옥 탐지 우회 기능떄문에 앱 연결이 끊겨 frida가 작동하질 않는다.

가끔 TCP 통신하는 앱의 경우 해당 패킷을 잡기 위해 Burp 에서 제공하는 NoPE Proxy를 사용해야한다.

가장 먼저 Burp 인증서가 단말기 내에 존재해야하니 명심할 것.

Burp > Extensions > BAPP Store > 검색창에 NoPE Proxy 검색 후 설치

아래 그림과 같이 세팅 우측 상단 Interface는 IP 설정을 위한 번호이다. 하단 12) wlan1 :192.168.0.17 즉 아이피에 번호를 매겨 쉽게 DNS IP를 설정하는 곳이다.

interface 는 12로 세팅 그리고 add 80 & 443 to Burp 를 눌러 80,443 포트로 리스너로 설정해준다.

 Proxy listeners 세팅

다음은 아래와같이 단말기 세팅이 필요하다.

적어 놓은 대로 세팅해 놓으면 된다.

필자의 경우 프록시도 같이 아래와 같이 세팅하니 패킷이 잡혔으니 이점도 유의하자.

그러면 이제 TCP 패킷이 잡힐 것이다.

얘 때문에 하루를 여기다가 다 써서 진이 빠진다.

이번에 frida-ios-dump를 사용하는데 계쏙 Winerror 2가 떠서 앱 덤프가 안됐다.

이에 대한 해결방안에 대해서 적도록한다.

[WinError 2] 지정된 파일을 찾을 수 없습니다. 

PermissionError: [WinError 5] 액세스가 거부되었습니다

해당 2개의 에러의 경우 윈도우에서 리눅스 명령어를 사용하다보니 에러가 발생하는 거라서 윈도우에서 리눅스 명령어 사용을 하게 해주는 프로그램만 설치하면된다. 

아래 링크로 들어가 Gow-0.8.0.exe 설치할것

https://github.com/bmatzelle/gow/releases

추가적으로 해결안된다면 기존에 payload 파일이 삭제되지 않아서 에러가 뜨는거기 떄문에 아래 경로로 가서 payload 폴더를 삭제한다.

C:\Users\[사용자 이름]\AppData\Local\Temp

만약 이마저도 안된다면 dump.py 내 해당 경로를 지정하는 코드가 있는데 이런식으로 내가 만든 폴더에 payload 파일이 저장되도록해준다.

TEMP_DIR = "C:\\Users\\Tyrell\\Desktop\\dump"

https://www.telerik.com/download/fiddler

모바일 진단할 때 Burp를 이용하여 패킷을 확인하는데 특정 앱의 경우 통신 시간이 너무 오래 걸리는 경우가 있다.

인증서 문제인지는 모르겠지만 해당 문제는 Burp와 모바일 사이에 Fiddler를 연동시켜주면 해결이 된다.

우선 피들러를 다운받고 설치해준다. 그 후 Options 접속

HTTPS 옵션에서 Decrypt HTTPS traffic, Ignore server certificate errors, check for certificate revocation 을 체크 해준다.

하는 도중에 경고 뜨는게 좀 있을 텐데 다 YES로 진행  ←해당과정은 HTTPS 통신하는 패킷을 잡기 위해서 필수

그리고 Actions에서 Trust Root Certificate도 YES 해서 인증서를 해당 PC에 설치해 준다.

Connections 부분도 아래와 같이 세팅 여기까지 진행 후 설정 적용을 위해 껐다가 다시 피들러 실행할 것

이제 단말기에서 Fiddler 인증서를 설치해야한다. Proxy 설정을 아래와 같이 진행

다만 서버 IP의 경우 진행중인 PC의 아이피로 진행해야하고 같은 네트워크 상에 있어야 한다.

그 다음에 단말기에서 해당 https://192.168.0.17:8888 로 접속 후 certificate를 설치해 준다.

ios 에서는 사파리로 들어가야 해당 인증서가 깔리니 크롬으로 들어가지 말 것

피들러는 8080 포트를 프록시로 설정해 Burp에서 패킷을 잡을 수 있게한다.

Burp는 피들러와의 연동을 위해 8080 포트를 All interface로 진행한다. 127.0.0.1로 진행해도 상관 없을 거 같긴하다.

이러면 패킷이 정상적으로 잡힐 것이다.

만약 안된다면 피들러를 한번 껐다가 다시 켜볼것

+ 필터가 필요하다면 아래와 같이 세팅

안드로이드의 경우 안드로이드 8버전 이상부터 인증서를 직접 수정해서 넣어줘야 신뢰할 수 있는 인증서 획득이 가능하다.

왼쪽 하단 QuickExec에 about:config 입력 후 엔터시 설정이 나오는데 아래와 같은 설정이 없다면

아래 명령어를 순차적으로  QuickExec에 넣어서 작동시켜줘야한다.

PREFS SET fiddler.certmaker.validdays 360
PREFS SET fiddler.certmaker.gracedays 1

그 후 아래와 같이 인증서 초기화 및 새로 발급받는다.

추출된 파일은 바탕화면에 존재한다.

해당 인증서는 openssl로 안드로이드 단말기 내에서 사용할 수 있는 파일로 만들어 집어넣는다.

# 확장자 der로 변경
openssl x509 -inform DER -in FiddlerRoot.der -out FiddlerRoot.pem
openssl x509 -inform PEM -subject_hash_old -in FiddlerRoot.pem | head -1
# 위 결과값을 이름으로 변경하고 확장자를 <해쉬값>.0 으로 변경해준다.
mount -o rw,remount /system
chmod 644 269953fb.0
mv 269953fb.0 /system/etc/security/cacerts/
#만약 인식 안되면 재부팅

사용자의 환경은 아이폰 x와 맥에서 진행을 하였다

기본적인 세팅은 Usb타입 케이블을 사용해야한다. c type으로 진행하였을 때 필자는 작동이 되지 않았고 Usb에 c-type 젠더를 끼워서 연결하니 정상적으로 탈옥이 되었다.

우선적으로 설치해야하는 것은 palera1n 이다.

아래 링크로 들어가서 palera1n-macos-universal을 다운 받는다.

https://github.com/palera1n/palera1n/releases

기본적으로 맥북과 핸드폰은 신뢰상태로 연결되어 있어야하고 탈옥 시 아이폰의 애플 계정 및 암호를 삭제해야한다.

순차적으로 명령어를 실행한다

#다운로드 한 경로로 이동( 필자는 다운로드 폴더에 저장되어서 다운로드 폴더로 이동함)
cd ~/Downloads

sudo mkdir -p /usr/local/bin

sudo mv ./palera1n-macos-universal /usr/local/bin/palera1n

sudo xattr -c /usr/local/bin/palera1n

sudo chmod +x /usr/local/bin/palera1n

cd /usr/local/bin/

#아이폰 연결 후 아래 명령어 실행
./palera1n -cf

#위 과정이 끝나면 아래 과정을 한번더 진행한다.
./palera1n -f

 <Error>: Timed out waiting for download mode (error code: -status_exploit_timeout_error) 탈옥 진행 중에 이 에러가 뜬다면 라이트닝 포트를 제거했다가 다시 연결하면 이후 과정이 순차적으로 진행되니 알고 있을 것!

여기서 특이한 점은 palera1n 을 두번 실행하는 것인데 첫번째 실행은 전체 시스템을 복사해서 페이크 시스템 만들고 탈옥을 하는 것이다

Where -c is a request to create FakeFS (a fake system created by cloning your entire system), f is a request to run rootfull.

한번 더 진행하는 정확한 이유는 모르지만 fakefs는 탈옥에만 이용되어 나중에 -c 명령어를 뺴면 fakeos를 삭제 진짜 os에 데이터를 올리는 것으로 예상된다. 그 이유로 첫번째 명령어 실행시 palera1n이 설치가 안되고 두번째 명령어를 실행할 때 palera1n이 깔린다. 

참고는 아래 링크를 통해 palera1n 을 참고 하여 작성되었다

https://www.youtube.com/watch?v=HDoG0urndkg&t=327s