• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Soft iOS Forensic Toolkit Агент-экстрактор без подписи разработчика используя версию на MacOS (максимальная версия iOS 13.7)

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 449
BIT
28
iOS Forensic Toolkit Агент-экстрактор без подписи разработчика используя версию на MacOS (максимальная версия iOS 13.7)
Ранее мы уже рассматривали работу с Elcomsoft iOS Forensic Toolkit Агент-экстрактор - извлечение данных без джейлбрейка
на нам нужен был проплаченный аккаунт разработчика, тут это мы то же уже описывали iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit
В данном примере мы будем использовать версию iOS Forensic Toolkit на устройстве MacOS Mojave и не используя учётную запись разработчика, а используя обычную запись Apple ID
1Снимок экрана 2020-12-11 в 09.45.57.png
Elcomsoft разработал возможность использования Apple ID, не зарегистрированного в программе Apple для разработчиков
Нашим устройством изучения будет iPhone 7 iOS 13.7 model MN912FS/A
2_20201211_113619.jpg
Проблемы возникают тогда, когда для подписи агента-экстрактора используется обычный или одноразовый идентификатор Apple ID. В этой ситуации для проверки сертификата iPhone придётся «выпустить» в сеть, позволив ему подключиться к удалённому серверу для валидации цифровой подписи. Адрес этого сервера — ppq.apple.com (17.173.66.213), порт 443.
Наша цель — ограничить сетевое подключение доступом исключительно к единственному указанному выше серверу. Для этого необходимо ограничить список узлов, к которым разрешено подключаться исследуемому устройству, оставив в «белом списке» единственный адрес сервера проверки сертификатов Apple (упомянутый выше ppq.apple.com).


Нам нужно настроить выход iPhone в интернет, и не дать ему заблокироваться или обновить любую информацию.
Первое что мы будем настраивать это связь iPhone через MacOS и настройка фаервола
3Снимок экрана 2020-12-11 в 09.21.14.png

и
4Снимок экрана 2020-12-11 в 09.22.11.png

благо есть уже готовые решения правил для фаервола
вот как выглядит выполнение и что внутри этих скриптов
5Снимок экрана 2020-12-11 в 10.25.45.png

install_firewall.sh
Код:
#!/bin/bash
cp /etc/pf.conf /etc/pf.conf.backup
echo "table <allowed-hosts> { ppq.apple.com, 192.168.2.0/24 }" >> /etc/pf.conf
echo "block drop in quick on bridge100 proto tcp from any to !<allowed-hosts>" >> /etc/pf.conf
pfctl -f /etc/pf.conf
uninstall_firewall.sh
Код:
#!/bin/bash
cp /etc/pf.conf.backup /etc/pf.conf
pfctl -f /etc/pf.conf
после запуска скрипта install_firewall.sh и подключении iPhone к MacOS мы увидим bridge100
6Снимок экрана 2020-12-11 в 10.58.16.png
используем программу так же как и под windows писалось
7Снимок экрана 2020-12-11 в 10.59.39.png
и теперь самое приятно, вводим свой обычный Apple ID при установке агента
8Снимок экрана 2020-12-11 в 11.04.19.png

на устройстве появляется сам агент и мы пройдём верификацию сертификата
9_20201211_110506.jpg

далее я подключил к windows и там продолжил снятие связок ключей и образа самого iPhone
 

Вложения

  • firewall.zip
    1,3 КБ · Просмотры: 190
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!