本文由杨非凡编译,陈裕铭、Roe校对,转载请注明。
对于大多数易受Checkm8漏洞影响的设备,取证专家可以不使用Pico板。然而,一些基于a5芯片的苹果设备诸如iphone4s、ipod Touch 5、ipad 2和ipad 3、最初的ipad Mini和Apple Tv 3等,由于设备的特殊性,想要利用Checkm8漏洞就需要微控制器精细的控制。
为了实现这一任务,Checkm8开发者发布了针对Arduino等微控制器板的漏洞利用,本文中我们将用树莓派Pico板来取代Arduino等微控制器板。树莓派Pico板可以简化设备置于DFU模式并执行漏洞利用的初始步骤的过程。通过将这项工作转移到硬件板上,可使取证过程变得更容易。让我们一起来了解如何配置和使用Pico微控制器来提取iphone 4s!
兼容性
本指南作适用于运行任何版本ios的iphone 4s、ipod Touch 5、ipad 2 和 ipad 3、ipad Mini、Apple Tv 3设备。即下表所示适用于第一列 Checkm8(32)。
准备事项
Checkm8是一个复杂的漏洞,漏洞的利用需要几个先决条件, iphone 4s所采用的Usb控制器,需要用非常特殊的方法来进入破解后的DFU模式。在开始之前,请确保你已经做好准备:
1. 一台Mac电脑。
2. 软件:ios Forensic Toolkit 8.0 Beta For Mac。
3. 一个兼容该工具的iphone 4s、ipod Touch 5、ipad 2 或 ipad 3、ipad Mini、Apple Tv 3 设备。目前,支持基于a5 (s5l8940), a5 Rev a (s5l8942) 和a5x (s5l8945) 的设备。此外还需要该设备能够进入DFU模式。
4. 如果屏幕锁密码未知,可选择恢复密码。
5. 一块按规格制作的树莓派Pico板(见下文)。
构建Pico板
首先需要构建树莓派Pico才能将Checkm8漏洞应用于iphone 4s。由于Pico板只有一个USB端口,且需要被用于连接到iphone,因此你还需要一个电源。我们建议采用以下配置:
1.一块带有焊接引脚头的树莓派Pico板。
2.一个用于电路板的电池 "UPS ",如 Pico-UPS-A-EN,以及一块兼容电池。
本次我们使用了如下所示的单个14500N电池舱;电池没有展示,需要单独购买。
3.一条micro-USB OTG电缆。
4.一条普通的USB到 Micro-USB的数据线,用于刷入Pico板。
成品板外观如下:
关于电池舱
所列出的基于单个14500N电池舱的Pico板方案只能提供3.7v电压, 这足够用来利用漏洞,但不足以使iphone置于DFU模式。为了使设备进入DFU模式, 你必须手动操作(然后将iphone连接到Pico板上)。
安装软件
安装ios Forensic Toolkit 8.0,详情请参考Checkm8提取iphone 8、8 Plus和iphone x(Https://Blog.Elcomsoft.Com/2022/02/Checkm8-Extraction-Of-iphone-8-8-Plus-And-iphone-x/)的详细安装说明。
1.有单独的安装包用于当前和传统版本的macOS。
·macOS Monterey和Big Sur。支持英特尔M1芯片处理器。
·适用于旧版的macOS 版本,包括 macOS High Sierra, Mojave, Catalina:仅限英特尔处理器。
2.下载.Dmg镜像并双击加载。
3.将EIFT8B8或EIFT8B7L复制到计算机上的一个已知位置(如桌面)。
4.启动终端并删除隔离标志(确保指定安装文件夹的完整路径)。
5.在终端,cd进入EIFT安装文件夹并启动./Eift_Cmd 和所需的命令行参数。
刷入Pico板
在将iphone连接到Pico板之前,需要使用自定义固件镜像对其进行刷入。
刷入树莓派Pico板,请遵循以下步骤:
1.确保安装了ios Forensic Toolkit 8.0 For Mac的最新版本。
2.按住Pico板上的按钮。
3.用普通的micro-USB电缆将电路板连接到Mac。
4.该板将显示为外部存储器。
5.将 "Picom8.Uf2 "文件从Eift根文件夹中拖到存储区。
6.Pico板将被刷新并重新启动。
7.板子完成重启后,就可以开始工作了。
命令行参数
请再次参考Checkm8提取iphone 8、8 Plus和iphone x (Https://Blog.Elcomsoft.Com/2022/02/Checkm8-Extraction-Of-iphone-8-8-Plus-And-iphone-x/)来了解ios Forensic Toolkit的基本命令行参数。我们将在随后的分步指引中使用这些命令。
iphone 4s Checkm8漏洞提取
首先,你需要使iphone进入DFU。你需要先将设备连接到电脑上以进入DFU 模式,然后断开与电脑的连接并连接到Pico板。
· 如果电压低于5v,设备则不会进入 DFU 模式。
· 如果没有连接成功,设备则不会进入 DFU 模式。
要将设备置于DFU模式,请遵循以下步骤:
1.将iphone 插入电脑。
2.关机。
3.按住电源按钮3秒钟。
4.按住Home键并按住电源键10秒。
5.松开电源键,但继续按住Home键。
6.继续按住Home键,直到itunes提示“已经检测到一个处于恢复模式的设备”。
注意:此时手机屏幕应该保持黑屏或白屏。如果itunes的标志出现了,则处于恢复模式,而不是DFU模式。如果是这种情况,需要重复上述步骤以进入DFU模式。
一旦iphone进入DFU状态,将其连接到树莓派Pico板上以应用该漏洞。一旦设备被利用,Led的重复短闪和长停将表示成功。有关错误代码和Led状态的更多信息,请参考Eift提供的用户手册。
一旦应用了该漏洞,将 iphone 从 Pico 板上断开,并将其连接到电脑上。然后你将按照 32 位设备(iphone 4和5/5c)的解锁和提取过程,正常使用 ios Forensic Toolkit。
应用该漏洞的注意事项:
有时需要尝试两到三次才能成功。Pico板可能会显示一个错误;如果发生这种情况,使iphone再次置于DFU模式,并将其连接到Pico板再次尝试。
一旦设备被利用,通过在ios Forensic Toolkit 中执行以下命令启动内存盘。
./EIFT_cmd boot
./EIFT_cmd boot将启动漏洞利用。该代码检测iphone上安装的操作系统版本并提供下载链接。如果有多个潜在的匹配,将显示多个下载链接;我们建议从列表中选取最后一个链接。从链接中下载文件,并将.ipsw 文件放到控制台窗口中。
本次提取方案没有使用安装在iphone上的操作系统来启动设备,而是在设备Ram中启动原始 Apple 固件的单独修补版本。
与其他兼容Checkm8的设备一样,你会在设备屏幕上看到 "Booting",然后是 "Exploited"。对于 32 位设备,使用以下命令:
挂载文件系统:
./Eift_Cmd Ramdisk Mount
如果存在非正常关机,并且脏位被设置,就可能需要运行Fsck:
Eift_Cmd Ramdisk Fsck_Hfs -Data
解锁:
如果iphone被锁住了,并且不知道密码,运行以下命令来破解密码:
./Eift_Cmd Ramdisk Passcode
导出Keys.Plist:
./Eift_Cmd Ramdisk Dumpkeys -p-o Keys.Plist
通过对用户分区进行镜像来导出数据:
./Eift_Cmd Ramdisk Diskdump -o Data.Dmg
使用之前提取的密钥解密数据:
./Eift_Cmd Tools Decrypthfs -i Data.Dmg -o Data_Dec.Dmg -k Keys.Plist
解密Keychain:
./Eift_Cmd Tools Keychain -i Data.Dmg -o Keychain.Xml -k Keys.Plist
为了加快解密速度,你可以选择添加-j参数以使用更多的线程解密。例如,"-j 10 "用于生成十个解密线程。
总结
iphone 4s和ipad 2 和3无疑是过时产品。尽管这样,这些设备仍然比较常见。它们可能包含有价值的证据,从个人照片到信息和其他数据,更不用说密码了。基于硬件的方法可以创建一个真正可靠和相对完善的解决方案,用于解锁和提取设备以及解密用户密码。相较于纯软件的解决方案,基于Pico更为可靠,因其不存在对主机系统或版本、Usb控制器和电压、电线等的依赖。
原文链接:
https://blog.elcomsoft.com/2022/05/checkm8-unlocking-and-imaging-the-iphone-4s/
参考链接:
https://blog.elcomsoft.com/2022/02/checkm8-extraction-of-iphone-8-8-plus-and-iphone-x/
https://www.amazon.de/-/en/coolwell-raspberry-uninterruptible-recharging-monitoring/dp/b091pkltdb/?th=1
原文始发于微信公众号(数据安全与取证):Checkm8:解锁iphone 4s并制作镜像
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论