Checkm8:解锁iphone 4s并制作镜像

admin 2022年6月11日03:01:31安全闲碎评论11 views3786字阅读12分37秒阅读模式
Checkm8:解锁iphone 4s并制作镜像
Checkm8:解锁iphone 4s并制作镜像

本文由杨非凡编译,陈裕铭、Roe校对,转载请注明。

对于大多数易受Checkm8漏洞影响的设备,取证专家可以不使用Pico板。然而,一些基于a5芯片的苹果设备诸如iphone4s、ipod Touch 5、ipad 2和ipad 3、最初的ipad Mini和Apple Tv 3等,由于设备的特殊性,想要利用Checkm8漏洞就需要微控制器精细的控制。

为了实现这一任务,Checkm8开发者发布了针对Arduino等微控制器板的漏洞利用,本文中我们将用树莓派Pico板来取代Arduino等微控制器板。树莓派Pico板可以简化设备置于DFU模式并执行漏洞利用的初始步骤的过程。通过将这项工作转移到硬件板上,可使取证过程变得更容易。让我们一起来了解如何配置和使用Pico微控制器来提取iphone 4s!

兼容性

本指南作适用于运行任何版本ios的iphone 4s、ipod Touch 5、ipad 2 和 ipad 3、ipad Mini、Apple Tv 3设备。即下表所示适用于第一列 Checkm8(32)。

Checkm8:解锁iphone 4s并制作镜像
Checkm8:解锁iphone 4s并制作镜像

准备事项

Checkm8是一个复杂的漏洞,漏洞的利用需要几个先决条件, iphone 4s所采用的Usb控制器,需要用非常特殊的方法来进入破解后的DFU模式。在开始之前,请确保你已经做好准备:

1. 一台Mac电脑。

2. 软件:ios Forensic Toolkit 8.0 Beta For Mac。

3. 一个兼容该工具的iphone 4s、ipod Touch 5、ipad 2 或 ipad 3、ipad Mini、Apple Tv 3 设备。目前,支持基于a5 (s5l8940), a5 Rev a (s5l8942) 和a5x (s5l8945) 的设备。此外还需要该设备能够进入DFU模式。

4. 如果屏幕锁密码未知,可选择恢复密码。

5. 一块按规格制作的树莓派Pico板(见下文)。

Checkm8:解锁iphone 4s并制作镜像

构建Pico板

首先需要构建树莓派Pico才能将Checkm8漏洞应用于iphone 4s。由于Pico板只有一个USB端口,且需要被用于连接到iphone,因此你还需要一个电源。我们建议采用以下配置:

1.一块带有焊接引脚头的树莓派Pico板。

Checkm8:解锁iphone 4s并制作镜像

2.一个用于电路板的电池 "UPS ",如 Pico-UPS-A-EN,以及一块兼容电池。

Checkm8:解锁iphone 4s并制作镜像

本次我们使用了如下所示的单个14500N电池舱;电池没有展示,需要单独购买。

Checkm8:解锁iphone 4s并制作镜像

3.一条micro-USB OTG电缆。

Checkm8:解锁iphone 4s并制作镜像

4.一条普通的USB到 Micro-USB的数据线,用于刷入Pico板。

成品板外观如下:

Checkm8:解锁iphone 4s并制作镜像
Checkm8:解锁iphone 4s并制作镜像

关于电池舱

所列出的基于单个14500N电池舱的Pico板方案只能提供3.7v电压, 这足够用来利用漏洞,但不足以使iphone置于DFU模式。为了使设备进入DFU模式, 你必须手动操作(然后将iphone连接到Pico板上)。

安装软件

安装ios Forensic Toolkit 8.0,详情请参考Checkm8提取iphone 8、8 Plus和iphone x(Https://Blog.Elcomsoft.Com/2022/02/Checkm8-Extraction-Of-iphone-8-8-Plus-And-iphone-x/)的详细安装说明。

1.有单独的安装包用于当前和传统版本的macOS。

·macOS Monterey和Big Sur。支持英特尔M1芯片处理器。

·适用于旧版的macOS 版本,包括 macOS High Sierra, Mojave, Catalina:仅限英特尔处理器。

2.下载.Dmg镜像并双击加载。

3.将EIFT8B8或EIFT8B7L复制到计算机上的一个已知位置(如桌面)。

4.启动终端并删除隔离标志(确保指定安装文件夹的完整路径)。

5.在终端,cd进入EIFT安装文件夹并启动./Eift_Cmd 和所需的命令行参数。

Checkm8:解锁iphone 4s并制作镜像

刷入Pico板

在将iphone连接到Pico板之前,需要使用自定义固件镜像对其进行刷入。

刷入树莓派Pico板,请遵循以下步骤:

1.确保安装了ios Forensic Toolkit 8.0 For Mac的最新版本。

2.按住Pico板上的按钮。

3.用普通的micro-USB电缆将电路板连接到Mac。

4.该板将显示为外部存储器。

5.将 "Picom8.Uf2 "文件从Eift根文件夹中拖到存储区。

6.Pico板将被刷新并重新启动。

7.板子完成重启后,就可以开始工作了。

Checkm8:解锁iphone 4s并制作镜像

命令行参数

请再次参考Checkm8提取iphone 8、8 Plus和iphone x (Https://Blog.Elcomsoft.Com/2022/02/Checkm8-Extraction-Of-iphone-8-8-Plus-And-iphone-x/)来了解ios Forensic Toolkit的基本命令行参数。我们将在随后的分步指引中使用这些命令。

iphone 4s Checkm8漏洞提取

首先,你需要使iphone进入DFU。你需要先将设备连接到电脑上以进入DFU 模式,然后断开与电脑的连接并连接到Pico板。

· 如果电压低于5v,设备则不会进入 DFU 模式。

· 如果没有连接成功,设备则不会进入 DFU 模式。

要将设备置于DFU模式,请遵循以下步骤:

1.将iphone 插入电脑。

2.关机。

3.按住电源按钮3秒钟。

4.按住Home键并按住电源键10秒。

5.松开电源键,但继续按住Home键。

6.继续按住Home键,直到itunes提示“已经检测到一个处于恢复模式的设备”。

注意:此时手机屏幕应该保持黑屏或白屏。如果itunes的标志出现了,则处于恢复模式,而不是DFU模式。如果是这种情况,需要重复上述步骤以进入DFU模式。

一旦iphone进入DFU状态,将其连接到树莓派Pico板上以应用该漏洞。一旦设备被利用,Led的重复短闪和长停将表示成功。有关错误代码和Led状态的更多信息,请参考Eift提供的用户手册。

一旦应用了该漏洞,将 iphone 从 Pico 板上断开,并将其连接到电脑上。然后你将按照 32 位设备(iphone 4和5/5c)的解锁和提取过程,正常使用 ios Forensic Toolkit。

应用该漏洞的注意事项:

有时需要尝试两到三次才能成功。Pico板可能会显示一个错误;如果发生这种情况,使iphone再次置于DFU模式,并将其连接到Pico板再次尝试。

一旦设备被利用,通过在ios Forensic Toolkit 中执行以下命令启动内存盘。

./EIFT_cmd boot

./EIFT_cmd boot将启动漏洞利用。该代码检测iphone上安装的操作系统版本并提供下载链接。如果有多个潜在的匹配,将显示多个下载链接;我们建议从列表中选取最后一个链接。从链接中下载文件,并将.ipsw 文件放到控制台窗口中。

本次提取方案没有使用安装在iphone上的操作系统来启动设备,而是在设备Ram中启动原始 Apple 固件的单独修补版本。

与其他兼容Checkm8的设备一样,你会在设备屏幕上看到 "Booting",然后是 "Exploited"。对于 32 位设备,使用以下命令:

挂载文件系统:

./Eift_Cmd Ramdisk Mount

如果存在非正常关机,并且脏位被设置,就可能需要运行Fsck:

Eift_Cmd Ramdisk Fsck_Hfs -Data

解锁:

如果iphone被锁住了,并且不知道密码,运行以下命令来破解密码:

./Eift_Cmd Ramdisk Passcode

导出Keys.Plist:

./Eift_Cmd Ramdisk Dumpkeys -p-o Keys.Plist

通过对用户分区进行镜像来导出数据:

./Eift_Cmd Ramdisk Diskdump -o Data.Dmg

使用之前提取的密钥解密数据:

./Eift_Cmd Tools Decrypthfs -i Data.Dmg -o Data_Dec.Dmg -k Keys.Plist

解密Keychain:

./Eift_Cmd Tools Keychain -i Data.Dmg -o Keychain.Xml -k Keys.Plist

为了加快解密速度,你可以选择添加-j参数以使用更多的线程解密。例如,"-j 10 "用于生成十个解密线程。

总结

iphone 4s和ipad 2 和3无疑是过时产品。尽管这样,这些设备仍然比较常见。它们可能包含有价值的证据,从个人照片到信息和其他数据,更不用说密码了。基于硬件的方法可以创建一个真正可靠和相对完善的解决方案,用于解锁和提取设备以及解密用户密码。相较于纯软件的解决方案,基于Pico更为可靠,因其不存在对主机系统或版本、Usb控制器和电压、电线等的依赖。

原文链接:

https://blog.elcomsoft.com/2022/05/checkm8-unlocking-and-imaging-the-iphone-4s/

参考链接:

https://blog.elcomsoft.com/2022/02/checkm8-extraction-of-iphone-8-8-plus-and-iphone-x/

https://www.amazon.de/-/en/coolwell-raspberry-uninterruptible-recharging-monitoring/dp/b091pkltdb/?th=1

Checkm8:解锁iphone 4s并制作镜像
Checkm8:解锁iphone 4s并制作镜像

原文始发于微信公众号(数据安全与取证):Checkm8:解锁iphone 4s并制作镜像

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月11日03:01:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Checkm8:解锁iphone 4s并制作镜像 http://cn-sec.com/archives/1106650.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: