mPaaS蘋果客戶端檢查更新的僞源碼探究

原創 _小呵呵 2020-06-20 06:34

 

檢查更新的方法是

    
[[UpgradeCheckService sharedService]checkUpgradeWith:^(MOBILEAPPCOMMONClientUpgradeRes *response) {


} failure:^(NSException *error) {


}];



這是返回的字段

@interface MOBILEAPPCOMMONClientUpgradeRes : NSObject

@property(nonatomic, assign) SInt32 resultStatus;
@property(nonatomic, strong) NSString* memo;
@property(nonatomic, strong) NSString* downloadURL;
@property(nonatomic, strong) NSString* newestVersion;
@property(nonatomic, strong) NSString* guideMemo;
@property(nonatomic, strong) NSString* fullMd5;
@property(nonatomic, strong) NSString* upgradeVersion;
@property(nonatomic, strong) NSString* netType;
@property(nonatomic, strong) NSString* userId;
@property(nonatomic, assign) BOOL isTf;

@end


這個是聲明

/**
 * 主動檢查更新,異步髮網絡請求
 * 業務方有自定義UI需求時可調用
 */
- (void)checkUpgradeWith:(CheckUpgradeComplete)complete failure:(CheckUpgradeFailure)failure;

hopper一下 [UpgradeCheckService sharedService]  功能是聲明rpc

/* @class UpgradeCheckService */
+(void *)sharedService {
    if (*_sharedService.onceToken != 0xffffffffffffffff) {
            dispatch_once(_sharedService.onceToken, ^ {/* block implemented at ___36+[UpgradeCheckService sharedService]_block_invoke */ } });
    }
    rax = objc_retainAutoreleaseReturnValue(*_sharedService.service);
    return rax;
}


void ___36+[UpgradeCheckService sharedService]_block_invoke(void * _block) {
    rax = [UpgradeCheckService alloc];
    rax = [rax init];
    rdi = *_sharedService.service;
    *_sharedService.service = rax;
    [rdi release];
    r12 = [[DTRpcConfig alloc] init];
    [r12 setOperationType:@"alipay.client.updateVersion"];
    r14 = [[DTRpcInterface sharedInstance] retain];
    r13 = [[r14 uniformRpcGateway] retain];
    rbx = [[NSURL URLWithString:r13] retain];
    [r12 setGatewayURL:rbx];
    [rbx release];
    [r13 release];
    [r14 release];
    [r12 setIsAMRPC:0x1];
    rbx = [[DTRpcClient defaultClient] retain];
    [rbx setConfig:r12 forScope:0x2];
    [rbx release];
    [r12 release];
    return;
}

 

下面hopper一下代碼實現 arg2 ->rbx 這是完成的block

/* @class UpgradeCheckService */
-(void)checkUpgradeWith:(void *)arg2 failure:(void *)arg3 {
    rbx = [arg2 retain];
    [CheckUpdateNetwork checkAppVersion:rbx failure:arg3];
    [rbx release];
    return;
}

直接調用了另一個類方法。+(void)checkAppVersion:(void *)arg2 failure:(void *)arg3 
  checkAppVersion調用的sharedService

/* @class CheckUpdateNetwork */
+(void)checkAppVersion:(void *)arg2 failure:(void *)arg3 {
    stack[-80] = [arg2 retain];
    rax = [arg3 retain];
    stack[-192] = 0x0;
    *(&stack[-192] + 0x8) = &stack[-192];
    *(&stack[-192] + 0x10) = 0x3032000000;
    *(int128_t *)(&stack[-192] + 0x18) = intrinsic_movdqu(*(int128_t *)(&stack[-192] + 0x18), intrinsic_punpcklqdq(zero_extend_64(___Block_byref_object_copy_), zero_extend_64(___Block_byref_object_dispose_)));
    rbx = rax;
    *(&stack[-192] + 0x28) = 0x0;
    r13 = [[self shredReq] retain];//req類型
    rax = [ClientUpgradeFacade new];
    stack[-144] = *__NSConcreteStackBlock;
    *(&stack[-144] + 0x8) = 0xffffffffc2000000;
    *(&stack[-144] + 0x10) = ___46+[CheckUpdateNetwork checkAppVersion:failure:]_block_invoke;
    *(&stack[-144] + 0x18) = ___block_descriptor_tmp.8;
    *(&stack[-144] + 0x38) = &stack[-192];
    rax = [rax retain];
    stack[-56] = rax;
    *(&stack[-144] + 0x20) = rax;
    r13 = [r13 retain];
    *(&stack[-144] + 0x28) = r13;
    rax = [rbx retain];
    stack[-64] = rax;
    *(&stack[-144] + 0x30) = rax;
    stack[-240] = *__NSConcreteStackBlock;
    *(&stack[-240] + 0x8) = 0xffffffffc2000000;
    *(&stack[-240] + 0x10) = ___46+[CheckUpdateNetwork checkAppVersion:failure:]_block_invoke.9;
    *(&stack[-240] + 0x18) = ___block_descriptor_tmp.16;
    *(&stack[-240] + 0x28) = &stack[-192];
    r14 = [stack[-80] retain];
    *(&stack[-240] + 0x20) = r14;
    rax = [DTRpcAsyncCaller callAsyncBlock:&stack[-144] completion:&stack[-240]];
    [[rax retain] release];
    [stack[-208] release];
    [stack[-96] release];
    [stack[-104] release];
    [stack[-112] release];
    [stack[-56] release];
    [r13 release];
    _Block_object_dispose(&stack[-192], 0x8);
    [*(&stack[-192] + 0x28) release];
    [stack[-64] release];
    [r14 release];
    return;
}

先看[self shredReq]  獲取設備信息,聯網狀態,從info.plist取出了@"Product ID"@"Product Version"等字段

是這麼取的

    r14 = [[NSBundle mainBundle] retain];

    rbx = [[r14 objectForInfoDictionaryKey:@"Product Version"] retain];

 

/* @class CheckUpdateNetwork */
+(void *)shredReq {
    r12 = [[MOBILEAPPCOMMONClientUpgradeReq alloc] init];
    rax = [APMobileIdentifier shareIdentifier];
    rax = [rax retain];
    stack[-80] = rax;
    rbx = [[rax clientId] retain];
    [r12 setClientId:rbx];
    r14 = *_objc_release;
    [rbx release];
    r15 = [[UIDevice currentDevice] retain];
    rbx = [[r15 systemVersion] retain];
    [r12 setOsVersion:rbx];
    [rbx release];
    [r15 release];
    r15 = [[NSBundle mainBundle] retain];
    r14 = [[r15 objectForInfoDictionaryKey:@"Product ID"] retain];
    [r12 setProductId:r14];
    [r14 release];
    [r15 release];
    r14 = [[NSBundle mainBundle] retain];
    rbx = [[r14 objectForInfoDictionaryKey:@"Product Version"] retain];
    [r12 setProductVersion:rbx];
    [rbx release];
    [r14 release];
    rbx = [[stack[-80] UTDID] retain];
    [r12 setDid:rbx];
    [rbx release];
    [r12 setOsType:@"IOS"];
    rbx = [[DTReachability sharedDTReachability] retain];
    r14 = [rbx networkStatus];
    [rbx release];
    if (r14 != 0x2) goto loc_101927e7c;

loc_101927e6c:
    rdx = @"WIFI";
    goto loc_101927ec1;

loc_101927ec1:
    [r12 setNetType:rdx];
    goto loc_101927eca;

loc_101927eca:
    stack[-56] = **___stack_chk_guard;
    [r12 setPrisonBreak:(*([_APSecurityUtilImpl shared] + 0x20))(0x0) & 0xff];
    [r12 setMobileBrand:@"Apple"];
    rax = [CTTelephonyNetworkInfo alloc];
    rax = [rax init];
    rdi = *_gNetWrokInfo;
    *_gNetWrokInfo = rax;
    [rdi release];
    rbx = [[stack[-80] deviceModel] retain];
    [r12 setMobileModel:rbx];
    [rbx release];
    r14 = [[MPaaSInterface sharedInstance] retain];
    rbx = [[r14 userId] retain];
    [r12 setUserId:rbx];
    [rbx release];
    [r14 release];
    stack[-72] = @"prisonBreakFlag";
    r15 = [[CheckUpdateNetwork getYueyuInfoFromDeviceInfo] retain];
    stack[-64] = r15;
    rax = [NSDictionary dictionaryWithObjects:&stack[-64] forKeys:&stack[-72] count:0x1];
    rbx = [rax retain];
    [r12 setExtInfos:rbx];
    [rbx release];
    [r15 release];
    [stack[-80] release];
    if (**___stack_chk_guard == stack[-56]) {
            rax = [r12 autorelease];
    }
    else {
            rax = __stack_chk_fail();
    }
    return rax;

loc_101927e7c:
    rbx = [[DTReachability sharedDTReachability] retain];
    r14 = [rbx networkStatus];
    [rbx release];
    if (r14 != 0x1) goto loc_101927eca;

loc_101927eb3:
    rdx = @"WWAN";
    goto loc_101927ec1;
}

這裏還會檢查越獄

螞蟻的的命名也是這樣啊哈哈哈  getYueyuInfoFromDeviceInfo

/* @class CheckUpdateNetwork */
+(void *)getYueyuInfoFromDeviceInfo {
    r14 = @"-1";
    [r14 retain];
    rbx = [NSClassFromString(@"AliSecXDeviceInfo") retain];
    if (rbx != 0x0) {
            r14 = @"-1";
            if ([rbx respondsToSelector:@selector(isYyabcInfo)] != 0x0) {
                    [rbx performSelector:@selector(isYyabcInfo)] & 0xffff;
                    r14 = [[NSString stringWithFormat:@"%d"] retain];
                    [@"-1" release];
            }
    }
    [rbx release];
    rax = [r14 autorelease];
    return rax;
}

ClientUpgradeFacade是更新表面的意思嗎 

    stack[-104] = [[r14 executeMethod:rdx params:rcx requestHeaderField:r8 responseHeaderFields:0x0] retain];
這行發請求

 

/* @class ClientUpgradeFacade */
-(void *)versionUpdateCheck:(void *)arg2 {
    rbx = [arg2 retain];
    r13 = [[DTRpcMethod alloc] init];
    [r13 setOperationType:@"alipay.client.updateVersion"];
    [r13 setCheckLogin:0x0];
    [r13 setSignCheck:0x1];
    [r13 setRetryable:0x0];
    [r13 setReturnType:@"@\"MOBILEAPPCOMMONClientUpgradeRes\""];
    r14 = [[DTRpcClient defaultClient] retain];
    stack[-112] = rbx;
    if (rbx != 0x0) {
            stack[-84] = 0x0;
    }
    else {
            rbx = [[NSNull null] retain];
            stack[-84] = 0x1;
    }
    stack[-96] = rbx;
    stack[-64] = rbx;
    rax = [NSArray arrayWithObjects:&stack[-64] count:0x1];
    rbx = [rax retain];
    stack[-80] = @"Version";
    stack[-72] = @"2";
    rax = [NSDictionary dictionaryWithObjects:&stack[-72] forKeys:&stack[-80] count:0x1];
    r15 = [rax retain];
    rdx = r13;
    rcx = rbx;
    r8 = r15;
    stack[-104] = [[r14 executeMethod:rdx params:rcx requestHeaderField:r8 responseHeaderFields:0x0] retain];
    [r15 release];
    [rbx release];
    if (stack[-84] != 0x0) {
            [stack[-96] release];
    }
    stack[-56] = **___stack_chk_guard;
    [r14 release];
    [r13 release];
    [stack[-112] release];
    if (**___stack_chk_guard == stack[-56]) {
            rax = [stack[-104] autorelease];
    }
    else {
            rax = __stack_chk_fail();
    }
    return rax;
}

然後根據MOBILEAPPCOMMONClientUpgradeRes反推一下

00000001024cbc68         dq         0x00000001040559e8, 0x00000000000007c8, 0x00000001020681b3, 0x0000000000000022 ; "@\\\"MOBILEAPPCOMMONClientUpgradeRes\\\"", DATA XREF=-[ClientUpgradeFacade versionUpdateCheck:]+158

可見就是上面的方法。

    r13 = [[DTRpcMethod alloc] init];

    [r13 setReturnType:@"@\"MOBILEAPPCOMMONClientUpgradeRes\""];

設置ReturnType之後返回的數據直接轉爲MOBILEAPPCOMMONClientUpgradeRes模型

 

DTRpcMethod作爲DTRpcClient方法的參數

    stack[-104] = [[r14 executeMethod:rdx params:rcx requestHeaderField:r8 responseHeaderFields:0x0] retain];

 

ClientUpgradeFacade繼承與nsobject  只有一個方法versionUpdateCheck

  ; 
                             ; @metaclass ClientUpgradeFacade  {
                             ; }
                     _OBJC_METACLASS_$_ClientUpgradeFacade:
000000010293ff28         struct __objc_class {                                  ; DATA XREF=_OBJC_CLASS_$_ClientUpgradeFacade
                             _OBJC_METACLASS_$_NSObject,          // metaclass
                             _OBJC_METACLASS_$_NSObject,          // superclass
                             __objc_empty_cache,                  // cache
                             0x0,                                 // vtable
                             __objc_metaclass_ClientUpgradeFacade_data // data
                         }
                             ; 
                             ; @class ClientUpgradeFacade : NSObject {
                             ;     -versionUpdateCheck:
                             ; }
                     _OBJC_CLASS_$_ClientUpgradeFacade:
000000010293ff50         struct __objc_class {                                  ; DATA XREF=0x102503bf8, objc_cls_ref_ClientUpgradeFacade
                             _OBJC_METACLASS_$_ClientUpgradeFacade, // metaclass
                             _OBJC_CLASS_$_NSObject,              // superclass
                             __objc_empty_cache,                  // cache
                             0x0,                                 // vtable
                             __objc_class_ClientUpgradeFacade_data // data
                         }

 

 

mov        rdi, qword [objc_cls_ref_ClientUpgradeFacade] ; argument "instance" for method _objc_msgSend, objc_cls_ref_ClientUpgradeFacade

 [ClientUpgradeFacade new];  咋調用的versionUpdateCheck?它的參數哪裏來的?

看這裏

    *(&var_88 + 0x10) = ___46+[CheckUpdateNetwork checkAppVersion:failure:]_block_invoke;

    *(&var_E8 + 0x10) = ___46+[CheckUpdateNetwork checkAppVersion:failure:]_block_invoke.9;

這個block裏面代碼裏調用的,竟然直接搜,搜不到

這是failure的block
function ___46+[CheckUpdateNetwork checkAppVersion:failure:]_block_invoke.9 {
    var_-56 = __NSConcreteStackBlock;
    *(int32_t *)(&var_-56 + 0x8) = 0xc2000000;
    *(int32_t *)(&var_-56 + 0xc) = 0x0;
    *(&var_-56 + 0x10) = ___46+[CheckUpdateNetwork checkAppVersion:failure:]_block_invoke_2.10;
    *(&var_-56 + 0x18) = ___block_descriptor_tmp.13;
    *(&var_-56 + 0x28) = *(rdi + 0x28);
    *(&var_-56 + 0x20) = [*(rdi + 0x20) retain];
    dispatch_async(__dispatch_main_q, &var_-56);
    rax = [*(&var_-56 + 0x20) release];
    return rax;
}
function ___46+[CheckUpdateNetwork checkAppVersion:failure:]_block_invoke_2.10 {
    rax = *(*(rdi + 0x28) + 0x8);
    if (*(rax + 0x28) != 0x0) {
            rdi = *(rdi + 0x20);
            if (rdi != 0x0) {
                    rax = (*(rdi + 0x10))();
            }
    }
    return rax;
}

 

 

更新的邏輯還是很清晰的,這個framefork文件也不多

 

 

 

 

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

記一次有點抽象的滲透經歷

0x01 獲取webshell 在各種信息蒐集中,發現某個ip的端口掛着一個比較老的服務。 首先看到了員工工號和手機號的雙重驗證,也不知道賬號是什麼結構組成的,基本上放棄字典爆破這一條路。於是乎打開之前用燈塔的掃描結果,看看文件泄露是否

原創 2024-05-17 23:16:30

記一次特別的未授權訪問

某個夜裏,隨手點進去的一個小程序,引發的連鎖反應。 開局一個小程序: 登錄方式令人發愁,嘗試收集,無果。 數據交互的地方說不定有sql,再次嘗試,還是無果。 複製連接去web端,看看有沒有什麼收穫: 好熟悉的界面,這不是SpringB

原創 2024-05-13 23:18:59

O2OA平臺手機移動端APP功能簡介

O2OA平臺擁有配套的原生開發的安卓和IOS移動APP,開發者在擁有公網IP或者域名的服務器上可以輕鬆體驗移動辦公環境。本篇主要向大家簡要介紹移動APP的主機功能。   O2OA 有自研的移動端 APP ,使用這個 APP 可

原創 2024-05-09 23:10:13

CVE復現之老洞新探(CVE-2021-3156)

環境搭建 直接拉取合適的docker docker 環境: https://hub.docker.com/r/chenaotian/cve-2021-3156 下載glibc-2.27源碼和sudo-1.8.21源碼 漏洞分析

原創 2024-05-08 22:52:37

跨平臺美學!使用DevExpress Reports & Office File API時如何管理字體?

DevExpress Office File API是一個專爲C#, VB.NET 和 ASP.NET等開發人員提供的非可視化.NET庫。有了這個庫,不用安裝Microsoft Office,就可以完全自動處理Excel、Word等文檔。開

原創 2024-05-06 23:35:34

記一次北京某大學邏輯漏洞挖掘

0x01 信息收集 個人覺得教育src的漏洞挖掘就不需要找真實IP了,我們直接進入正題,收集某大學的子域名,可以用oneforall,這裏給大家推薦一個在線查詢子域名的網站:https://www.virustotal.com/ 收集到的子

原創 2024-04-28 22:47:25

一次奇妙的任意用戶登錄實戰

剛剛進行了微信sessionkey的學習,正準備實戰一下,就發現了這個神奇的網站,預知後事如何。請繼續向下看去 1. 目標 2. 開局一個登錄框 3. 首先,直接弱口令走起來,萬一留有測試的賬號呢 嘗試,1311111111,1333

原創 2024-04-22 22:46:11

記一次奇妙的某個edu滲透測試

前話: 對登錄方法的輕視造成一系列的漏洞出現,對接口確實鑑權造成大量的信息泄露。從小程序到web端網址的奇妙的測試就此開始。(文章厚碼,請見諒) 1. 尋找到目標站點的小程序 進入登錄發現只需要姓名加學工號就能成功登錄,通過google

原創 2024-04-16 22:46:34

記一次對某高校微信小程序的漏洞挖掘

挖掘目標的部署在微信的資產(減少信息的收集,畢竟一般web站點沒有賬號密碼不好進入後臺,挖掘功能點少) 1.尋找目標的微信小程序(非原圖) 2.招生小程序打不開,只能挖掘管理系統 進入後發現存在上報安全隱患功能,可以上傳圖片 3.準備上

原創 2024-04-15 22:48:12

Objective-C網絡請求開發的高效實現方法與技巧

前言 在移動應用開發中,網絡請求是一項至關重要的技術。Objective-C作爲iOS平臺的主要開發語言之一,擁有豐富的網絡請求開發工具和技術。本文將介紹如何利用Objective-C語言實現高效的網絡請求,以及一些實用的技巧和方法。

原創 2024-04-12 23:25:47

從CVE復現看棧溢出漏洞利用

最近復現了兩個棧溢出漏洞的cve,分別是CVE-2017-9430和CVE-2017-13089,簡單記錄一下real wrold中的棧溢出漏洞學習。目前,棧溢出漏洞主要出現在iot固件中,linux下的已經很少了,所以這兩個洞都是17年,

原創 2024-04-12 10:45:32

“AI換臉”色情視頻困擾英國,6成女性擔心成受害者

AI換臉,也稱爲“深度僞造”(Deepfake),是一種利用人工智能技術將人臉替換到另一個人的臉部上的技術。“深度僞造”技術涉及多種技術和算法,可以生成非常逼真的圖像或視頻。將“深度僞造”的虛假內容與真實信息的元素拼湊在一起,就可以用於可以

原創 2024-04-09 23:33:10

關於轉義符 \ 在php正則中的匹配問題

今天做題遇到一個很經典的問題,記錄一下,先看一段代碼 <?php $str,=,"\\"; $pattern,=,"/\\/"; if(preg_match($partern,$str,$arr)) { ,,,,echo,"suc

原創 2024-04-09 22:46:30

Vision Pro開發實踐(一)

簡介 Vision Pro是蘋果公司的首款頭戴式“空間計算”顯示設備,於2023年6月6日在“WWDC2023”正式發佈,同時推出的還有專爲Vision Pro打造的操作系統平臺visionOS,以及一整套“新的”開發工具,之所以打引號,

原創 2024-04-07 11:15:26

騰訊雲(CVM)託管進行權限維持

前言 剛好看到一個師傅分享了一個阿里雲ECS實戰攻防,然後想到了同樣利用騰訊雲CVM的託管亦可實現在實戰攻防中的權限維持。 簡介 騰訊雲自動化助手(TencentCloud Automation Tools,TAT)是一個原生運維部署工

原創 2024-04-02 22:46:39