阿里系UTDID庫iOS生成唯一性ID分析

原創 _小呵呵 2020-03-04 11:58

 

上篇說了OpenUDID。

在mpaas裏直接把循環後由+[UTDIDOpenUDID _generateFreshOpenUDID]生成方法改成了[[[UTDIDMain alloc] init] value]

       var_C0 = [var_60 keysSortedByValueUsingSelector:@selector(compare:)];
                    if ((var_C0 != 0x0) && ([var_C0 count] > 0x0)) {
                            var_168 = [var_C0 lastObject];
                    }
                    else {
                            var_168 = 0x0;
                    }
                    var_C8 = var_168;
                    if (var_30 == 0x0) {
                            if (var_C8 == 0x0) {
                                    var_30 = [[[UTDIDMain alloc] init] value];
                            }
                            else {
                                    var_30 = var_C8;
                            }
                            if (var_50 == 0x0) {
                                    var_50 = [NSMutableDictionary dictionaryWithCapacity:0x4];
                                    [var_50 setObject:var_30 forKey:@"UTDID"];
                                    [var_50 setObject:var_68 forKey:@"UTDID_appUID"];
                                    [var_50 setObject:[NSDate date] forKey:@"UTDID_createdTS"];
                                    if ((var_41 & 0x1) != 0x0) {
                                            [var_50 setObject:var_40 forKey:@"UTDID_createdTS"];
                                    }
                                    var_42 = 0x1;
                            }
                    }

UTDIDMain初始化時由UTDIDMain提供 aes祕鑰 , [UTDIDPersistentConf initWithIdentifier:@"Alvin"]持久配置

 

參考:阿里移動數據安全UTDID分析  這篇的先後判斷邏輯。

 

從NSUserDefaults取值

    var_-168 = [NSUserDefaults standardUserDefaults];

    rax = [var_-168 retain];

    var_-56 = rax;

    var_-184 = [rax objectForKey:@"PK_455469921"];

不是空的話dePack 退包,是驗證都是意思嗎?

void * -[UTDIDHelper dePack:](void * self, void * _cmd, void * arg2) {
    objc_storeStrong(&var_80, arg2);

//解密
    var_88 = [[UTDIDAES AES256DecryptWithKey:0x0 forKey:self->mAESKey] retain];
    if ([var_88 length] == 0x16) {
            var_A0 = [[UTDIDBaseUtils platform] retain];
            if (0x0 != var_A0) {
                    var_A8 = [[UTDIDIntUtils bytes:[UTDIDStringUtils hashCode:var_A0]] retain];
                    var_C0 = [[var_88 subdataWithRange:0x0] retain];
                    var_C8 = [[UTDIDIntUtils bytes:0x0] retain];
                    if ((([var_C8 isEqualToData:var_C0] & 0x1) == 0x0) && (([var_A8 isEqualToData:var_C0] & 0x1) == 0x0)) {
                            var_68 = 0x0;
                            var_CC = 0x1;
                    }
                    else {
                            var_CC = 0x0;
                    }
                    objc_storeStrong(&var_C8, 0x0);
                    objc_storeStrong(&var_C0, 0x0);
                    objc_storeStrong(&var_A8, 0x0);
                    if (var_CC == 0x0) {
                            var_E8 = [[var_88 subdataWithRange:0x4] retain];
                            var_68 = [var_E8 retain];
                            objc_storeStrong(&var_E8, 0x0);
                    }
            }
            else {
                    var_E8 = [[var_88 subdataWithRange:0x4] retain];
                    var_68 = [var_E8 retain];
                    objc_storeStrong(&var_E8, 0x0);
            }
            objc_storeStrong(&var_A0, 0x0);
    }
    else {
            var_68 = 0x0;
    }
    var_80 = 0x0;
    objc_storeStrong(&var_88, 0x0);
    objc_storeStrong(&var_80, 0x0);
    rax = [var_68 autorelease];
    return rax;
}

解密,取設備平臺hw.machine,然後每個字節比對。

是空的話也解密?然後[var_10->mDevicePersistentConfig setObject:var_40 forKey:@"c"];

然後生成與存儲

void * -[UTDIDMain generateUtdidAndSave](void * self, void * _cmd) {
    var_10 = self;
    var_20 = [[UTDIDMain generateUtdid] retain];
    var_28 = [[var_10->mUtdidHelper pack:var_20] retain];
    if (([var_10 isUtdidValid:var_28] & 0x1) == 0x0) {
            var_8 = 0x0;
    }
    else {
            [var_10 saveUtdid:var_28];
            var_8 = [var_20 retain];
    }
    objc_storeStrong(&var_28, 0x0);
    objc_storeStrong(&var_20, 0x0);
    rax = [var_8 autorelease];
    return rax;
}

+[UTDIDMain generateUtdid] 

void * +[UTDIDMain generateUtdid](void * self, void * _cmd) {
    var_18 = [[NSMutableData alloc] init];
    rax = [NSDate date];
    rax = [rax retain];
    var_74 = intrinsic_cvttsd2si([rax timeIntervalSince1970], xmm0);
    [rax release];
    rax = arc4random();
    var_20 = rax - -(rax * 0x80000001 >> 0x3f);
    var_21 = 0x3;
    var_22 = 0x0;
    var_30 = [[UTDIDMain uniqueGlobalDeviceIdentifier] retain];
    rax = [UTDIDIntUtils bytes:var_74];
    rax = [rax retain];
    var_38 = rax;
    [var_18 appendData:rax];
    rax = [UTDIDIntUtils bytes:var_20];
    rax = [rax retain];
    rdi = var_38;
    var_38 = rax;
    [rdi release];
    [var_18 appendData:var_38];
    [var_18 appendBytes:&var_21 length:0x1];
    [var_18 appendBytes:&var_22 length:0x1];
    rax = [UTDIDStringUtils hashCode:var_30];
    rax = [UTDIDIntUtils bytes:rax];
    rax = [rax retain];
    rdi = var_38;
    var_38 = rax;
    [rdi release];
    [var_18 appendData:var_38];
    rax = [UTDIDBaseUtils hmacBase64Value:var_18 key:"d6fc3a4a06adbde89223bvefedc24fecde188aaa9161"];
    rax = [rax retain];
    var_48 = rax;
    rax = [UTDIDStringUtils hashCode:rax];
    rax = [UTDIDIntUtils bytes:rax];
    rax = [rax retain];
    var_58 = rax;
    [var_18 appendData:rax];
    var_88 = [var_18 retain];
    objc_storeStrong(&var_58, 0x0);
    objc_storeStrong(&var_48, 0x0);
    objc_storeStrong(&var_38, 0x0);
    objc_storeStrong(&var_30, 0x0);
    objc_storeStrong(&var_18, 0x0);
    rax = [var_88 autorelease];
    return rax;
}

上面是核心算法:取時間戳 隨機數

然後用系統方法創建uuid

void * +[UTDIDMain uniqueGlobalDeviceIdentifier](void * self, void * _cmd) {
    var_-32 = CFUUIDCreate(0x0);
    var_-40 = CFUUIDCreateString(0x0, var_-32);
    CFRelease(var_-32);
    if (0x0 == var_-40) {
            var_-8 = [[UTDIDBaseUtils uniqueID] retain];
    }
    else {
            var_-8 = [var_-40 retain];
    }
    objc_storeStrong(&var_-40, 0x0);
    rax = [var_-8 autorelease];
    return rax;
}

 var_-8 = [[UTDIDBaseUtils uniqueID] retain];這個基本用不上。

然後生成hmac,rax = [UTDIDBaseUtils hmacBase64Value:var_-24 key:"d6fc3a4a06adbde89223bvefedc24fecde188aaa9161"];

拼接二進制,再轉字節,

 

猜的沒錯,斷點截圖

核心代碼試着放到工程裏更直觀的看看

//
//  UTDIDMain+YYY.h
//
//  Created by YYY on 2020/3/4.
//



NS_ASSUME_NONNULL_BEGIN
@interface UTDIDMain : NSObject
+ (id)uniqueGlobalDeviceIdentifier;
@end
@interface UTDIDMain (YYY)

@end

NS_ASSUME_NONNULL_END


//
//  UTDIDMain+YYY.m
//
//  Created by YYY on 2020/3/4.
//

#import "UTDIDMain+YYY.h"
#import <objc/runtime.h>
@interface UTDIDIntUtils : NSObject
{
}

+ (id)bytes:(unsigned int)arg1;
+ (int)positive:(int)arg1;
@end


@interface UTDIDStringUtils : NSObject
{
}

+ (int)hashCode:(id)arg1;
+ (_Bool)isEmpty:(id)arg1;

@end

@interface UTDIDBaseUtils : NSObject
{
}

+ (id)hmacBase64Value:(id)arg1 key:(char *)arg2;
+ (id)platform;
+ (id)uniqueID;

@end
@implementation UTDIDMain (YYY)
+(NSData*)generateUtdidS {
    

    NSMutableData *var_24 = [[NSMutableData alloc] init];
    NSDate *rax0 = [NSDate date];//2020-03-03 16:33:21 +0000
    
    NSTimeInterval var_116 = [rax0 timeIntervalSince1970];//1583253201.224169
    
    uint32_t rax1 = arc4random();//3935423772
    uint32_t var_32 = (rax1 * 0x80000001 >> 0x3f);//0
    int var_33 = 0x3;
    int var_34 = 0x0;
    
    NSString *var_48 =  [UTDIDMain uniqueGlobalDeviceIdentifier]  ;//F37FA956-45E4-4CB6-811A-AA2C9CB03D75
    NSData *rax2 = [UTDIDIntUtils bytes:var_116];//<5e5e86d1>
    NSData *var_56 = rax2;
    
    [var_24 appendData:rax2];//第一步 先拼時間戳生成的dbyte
    
    NSData * rax3 = [UTDIDIntUtils bytes:var_32];//
    
    NSData *rdi = var_56;
    var_56 = rax3;
    
    
    [var_24 appendData:var_56];//第二步  拼接隨機數右移的值
    [var_24 appendBytes:&var_33 length:0x1];//第3步  拼接1
    [var_24 appendBytes:&var_34 length:0x1];//第4步  拼接1
    
    Byte rax4 = [UTDIDStringUtils hashCode:var_48];
    NSData* rax5 = [UTDIDIntUtils bytes:rax4];//<00000057>
    
    rdi = var_56;
    var_56 = rax5;
    
    [var_24 appendData:var_56];////第5步  拼接uniqueGlobalDeviceIdentifier hashCode的值
    
    NSData*  rax6 = [UTDIDBaseUtils hmacBase64Value:var_24 key:"d6fc3a4a06adbde89223bvefedc24fecde188aaa9161"];//zBc/8BGEZzWAAEgG0shNPItLQs8=

    
    int  rax7 = [UTDIDStringUtils hashCode:rax6];//-797734293
    NSData  *rax8 = [UTDIDIntUtils bytes:rax7];//<d0738a6b>

    
    [var_24 appendData:rax8];//第6步  拼接hmacBase64Value hashCode的值
    
    NSData*  var_136 =  var_24 ;

    
    return var_136;//<5e5e86d1 00000000 03000000 0057d073 8a6b>

}
@end

 

總結核心代碼生成步驟:

//第一步 先拼時間戳生成的byte

//第二步  拼接隨機數右移的值

//第3步  拼接3

//第4步  拼接0

//第5步  拼接uniqueGlobalDeviceIdentifier hashCode的值

//第6步  拼接hmacBase64Value hashCode的值

 

 

 

 

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

記一次北京某大學邏輯漏洞挖掘

0x01 信息收集 個人覺得教育src的漏洞挖掘就不需要找真實IP了,我們直接進入正題,收集某大學的子域名,可以用oneforall,這裏給大家推薦一個在線查詢子域名的網站:https://www.virustotal.com/ 收集到的子

原創 2024-04-28 22:47:25

一次奇妙的任意用戶登錄實戰

剛剛進行了微信sessionkey的學習,正準備實戰一下,就發現了這個神奇的網站,預知後事如何。請繼續向下看去 1. 目標 2. 開局一個登錄框 3. 首先,直接弱口令走起來,萬一留有測試的賬號呢 嘗試,1311111111,1333

原創 2024-04-22 22:46:11

記一次奇妙的某個edu滲透測試

前話: 對登錄方法的輕視造成一系列的漏洞出現,對接口確實鑑權造成大量的信息泄露。從小程序到web端網址的奇妙的測試就此開始。(文章厚碼,請見諒) 1. 尋找到目標站點的小程序 進入登錄發現只需要姓名加學工號就能成功登錄,通過google

原創 2024-04-16 22:46:34

記一次對某高校微信小程序的漏洞挖掘

挖掘目標的部署在微信的資產(減少信息的收集,畢竟一般web站點沒有賬號密碼不好進入後臺,挖掘功能點少) 1.尋找目標的微信小程序(非原圖) 2.招生小程序打不開,只能挖掘管理系統 進入後發現存在上報安全隱患功能,可以上傳圖片 3.準備上

原創 2024-04-15 22:48:12

Objective-C網絡請求開發的高效實現方法與技巧

前言 在移動應用開發中,網絡請求是一項至關重要的技術。Objective-C作爲iOS平臺的主要開發語言之一,擁有豐富的網絡請求開發工具和技術。本文將介紹如何利用Objective-C語言實現高效的網絡請求,以及一些實用的技巧和方法。

原創 2024-04-12 23:25:47

從CVE復現看棧溢出漏洞利用

最近復現了兩個棧溢出漏洞的cve,分別是CVE-2017-9430和CVE-2017-13089,簡單記錄一下real wrold中的棧溢出漏洞學習。目前,棧溢出漏洞主要出現在iot固件中,linux下的已經很少了,所以這兩個洞都是17年,

原創 2024-04-12 10:45:32

“AI換臉”色情視頻困擾英國,6成女性擔心成受害者

AI換臉,也稱爲“深度僞造”(Deepfake),是一種利用人工智能技術將人臉替換到另一個人的臉部上的技術。“深度僞造”技術涉及多種技術和算法,可以生成非常逼真的圖像或視頻。將“深度僞造”的虛假內容與真實信息的元素拼湊在一起,就可以用於可以

原創 2024-04-09 23:33:10

關於轉義符 \ 在php正則中的匹配問題

今天做題遇到一個很經典的問題,記錄一下,先看一段代碼 <?php $str,=,"\\"; $pattern,=,"/\\/"; if(preg_match($partern,$str,$arr)) { ,,,,echo,"suc

原創 2024-04-09 22:46:30

Vision Pro開發實踐(一)

簡介 Vision Pro是蘋果公司的首款頭戴式“空間計算”顯示設備,於2023年6月6日在“WWDC2023”正式發佈,同時推出的還有專爲Vision Pro打造的操作系統平臺visionOS,以及一整套“新的”開發工具,之所以打引號,

原創 2024-04-07 11:15:26

騰訊雲(CVM)託管進行權限維持

前言 剛好看到一個師傅分享了一個阿里雲ECS實戰攻防,然後想到了同樣利用騰訊雲CVM的託管亦可實現在實戰攻防中的權限維持。 簡介 騰訊雲自動化助手(TencentCloud Automation Tools,TAT)是一個原生運維部署工

原創 2024-04-02 22:46:39

2024西湖論劍-phpems-代碼審計

前言 2024西湖論劍數據安全題,太菜了當時沒看明白, 系統是phpems,修改了默認密碼,需要利用CVE登上去 CVE-2023-6654 ,菜鳥學習,大佬多指點 0x01環境搭建 https://phpems.net/index.p

原創 2024-03-25 23:38:27

iOS自定義應用設置頁面

iOS自定義應用設置頁面 引言 我們知道,當安裝了一個iOS應用程序後,在系統的設置中,就會爲此應用生成一個單獨的設置模塊,可以在其中控制應用的網絡權限、推送權限等系統設置項。除了系統功能的相關設置外,其實應用程序也有許多自身設置的需求,例

原創 2024-03-25 00:26:38

小程序繞過 sign 簽名

之前看到了一篇文章【小程序繞過sign簽名思路】之前在做小程序滲透時也遇到了這種情況,但是直接放棄測試了,發現這種思路後,又遇到了這種情況,記錄下過程。 並沒有漏洞分享,僅僅是把小程序也分享出來,方便大家測試學習。 小程序 父母邦親子旅行酒

原創 2024-03-20 23:32:08

[實戰]API防護破解之簽名驗籤

前言:   傳統的接口在傳輸的過程中,是非常容易被抓包進行篡改,從而進行中間人攻擊。 這時候我們可以通過對參數進行簽名驗證,如果參數與簽名值不匹配,則請求不通過,直接返回錯誤信息,從而防止黑客攻擊或者大大增加了黑客攻擊的成本。 白帽子在挖

原創 2024-03-13 23:12:24

一文全面瞭解O2OA(翱途)開發平臺的技術棧

O2OA(翱途)開發平臺採用JavaEE技術棧分佈式架構設計,是一款真正全代碼(包含服務器、安卓以及IOS客戶端)開源的企業應用定製化開發平臺,適用於企業OA、協同辦公類信息化系統的建設和開發。 平臺擁有流程管理、門戶管理、信息管理、數據管

原創 2024-03-04 11:03:13