iOS16越狱

最近有台iPhone8升级了IOS16，用原本的checkra1n已经没办法越狱了，所以需要用新的工具来进行，正好之前就了解过palera1n但是从来没实践过，那今天咱们就试一下

今天的主角就是下面这台机：

设备：iPhone8
CPU：A11
IOS版本：16.2

关于palera1n

palera1n是一款面向开发者的越狱软件，适用于iOS 15.0-16.5.1上的checkm8设备（A8-A11），支持MacOS和Linux

支持以下设备

• • iPhone 6s

• • iPhone 6s Plus

• • iPhone SE (2016)

• • iPhone 7

• • iPhone 7 Plus

• • iPhone 8

• • iPhone 8 Plus

• • iPhone X

• • iPad mini 4

• • iPad Air 2

• • iPad (5th generation)

• • iPad (6th generation)

• • iPad (7th generation)

• • iPad Pro (9.7")

• • iPad Pro (12.9") (1st generation)

• • iPad Pro (10.5")

• • iPad Pro (12.9") (2nd generation)

• • iPod Touch (7th generation)

下载palera1n越狱工具

下载地址：Releases · palera1n/palera1n (github.com)^[1]

我使用的是intel的Mac，所以下载palera1n-macos-x86_64^[2]

熟悉palera1n越狱工具

下载后授予可执行权限

chmod u+x palera1n-macos-x86_64

然后查看一下帮助信息

./palera1n-macos-x86_64 --help 

# == palera1n-c == 
#
# Made by: Nick Chan, Ploosh, Samara, Nebula, staturnz, kok3shidoll 
#
# Thanks to: pythonplayer123, llsc12, Mineek, tihmstar, nikias
# (libimobiledevice), checkra1n team (Siguza, axi0mx, littlelailo
# et al.), Procursus Team (Hayden Seay, Cameron Katri, Keto et.al)

Usage: ./palera1n-macos-x86_64 [-DEhpvVldsSLRnPIcCfB] [-e boot arguments] [-k Pongo image] [-o overlay file] [-r ramdisk file] [-K KPF file] [-i checkra1n file]
Copyright (C) 2023, palera1n team, All Rights Reserved.

iOS/iPadOS 15.0-16.5 arm64 jailbreaking tool

    --version    Print version
    --force-revert    Remove jailbreak
    -B, --setup-partial-fakefs  Setup partial fakefs
    -c, --setup-fakefs   Setup fakefs
    -C, --clean-fakefs   Clean fakefs
    -d, --demote    Demote
    -D, --dfuhelper    Exit after entering DFU
    -e, --boot-args <boot arguments> XNU boot arguments
    -E, --enter-recovery   Enter recovery mode
    -f, --fakefs     Boots fakefs
    -h, --help    Show this help
    -i, --override-checkra1n <file>  Override checkra1n
    -k, --override-pongo <file>  Override Pongo image
    -K, --override-kpf <file>  Override kernel patchfinder
    -l, --rootless    Boots rootless. This is the default
    -L, --jbinit-log-to-file  Make jbinit log to /cores/jbinit.log (can be read from sandbox while jailbroken)
    -n, --exit-recovery   Exit recovery mode
    -I, --device-info   Print info about the connected device
    -o, --override-overlay <file>  Override overlay
    -p, --pongo-shell   Boots to PongoOS shell
    -P, --pongo-full   Boots to a PongoOS shell with default images already uploaded
    -r, --override-ramdisk <file>  Override ramdisk
    -R, --reboot-device   Reboot connected device in normal mode
    -s, --safe-mode    Enter safe mode
    -S, --no-colors    Disable colors on the command line
    -v, --debug-logging   Enable debug logging
        This option can be repeated for extra verbosity.
    -V, --verbose-boot   Verbose boot

Environmental variables:
    TMPDIR  temporary diretory (path the built-in checkra1n will be extracted to)

中文对照如下

准备工作

先看下官方的使用指南，在这里Installing palera1n | iOS Guide (cfw.guide)^[3]，使用指南中有几个提醒：

1. 1. 数据线相关

If you are using a USB-C to Lightning cable to do this process, you may run into issues entering into DFU mode
If you do have issues, get a USB-A to Lightning cable and, if necessary, also get a USB-C to USB-A adapter.
If you're using an Apple Silicon Mac and using a USB-C port to plug your cable/adapter into, you'll need to unplug and replug the device after appears in the logs.Checkmate!

大概翻译了一下

如果你使用 USB-C 转 Lightning 电缆执行此过程，可能会遇到进入 DFU 模式的问题。
如果确实遇到问题，请使用 USB-A 转 Lightning 电缆，并在必要时获取 USB-C 转 USB-A 适配器。
如果你正在使用 Apple Silicon Mac，并使用 USB-C 端口插入你的电缆/适配器，你需要在日志中显示设备后拔下并重新插入设备。

大意就是不能用USB-C 转 Lightning 的数据线，就感觉很奇怪，USB-C 转 USB-A再转 Lightning 可以，但是USB-C 转 Lightning 就不行

那我们就用拓展坞，来通过USB-C 转 USB-A再转 Lightning进行连接试一下

1. 2. 系统版本相关

palera1n is a work-in-progress jailbreak that patches the kernel so you can use Sileo and install tweaks. Currently, palera1n is compatible with A11 (iPhone X) and earlier devices on iOS 15 and later, with some major caveats.

On A11 devices, you must disable your passcode and will not be able to use your passcode, or other SEP functionality, until you boot into a stock iOS state. SEP functionality includes things such as a passcode, Face ID/Touch ID, and Apple Pay.

Additionally, if your device is an A11 device on iOS 16 and you've set a passcode before, you will need to erase all content and settings in order to be able to jailbreak.

大体意思就是A11设备必须禁用密码，如果这个A11设备还升级了IOS16，那么操作前必须删除所有内容和设置才可以

开始操作

根据上面的help和官方教程来看，越狱存在两种方式，一种是rootful一种是rootless

Rootless并不需要自己输入任何命令，只需要执行palera1n即可，根据上面的help命令的输出来看，默认模式即为-l，如果要使用rootful，则需要-cf参数，那么我们就尝试一下rootul模式

1. 1. 由于我使用的是iPhone8并且版本升级的IOS16，所以需要先删除所有内容和设置，可以通过设置-通用-传输或还原IPhone-抹掉所有内容和设置来进行

2. 2. 执行palera1n

./palera1n-macos-x86_64 -cf

3.此时设备会进入DFU模式，进入DFU之后，根据提示，点击回车进行下一步操作

 - [08/16/23 16:56:50] <Info>: Waiting for devices
 - [08/16/23 16:56:50] <Info>: Telling device with udid xxx to enter recovery mode immediately
 - [08/16/23 16:57:01] <Info>: Press Enter when ready for DFU mode

4.按下回车的同时，根据提示先按住电源键和音量-，之后松开电源键但不要松开音量-

5.之后页面会提示如下信息

  
#
# Checkra1n 0.1337.1
#
# Proudly written in nano
# (c) 2019-2023 Kim Jong Cracks
#
#========  Made by  =======
# argp, axi0mx, danyl931, jaywalker, kirb, littlelailo, nitoTV
# never_released, nullpixel, pimskeks, qwertyoruiop, sbingner, siguza
#======== Thanks to =======
# haifisch, jndok, jonseals, xerub, lilstevie, psychotea, sferrini
# Cellebrite (ih8sn0w, cjori, ronyrus et al.)
#==========================

 - [08/16/23 17:01:46] <Verbose>: Starting thread for Apple TV 4K Advanced board
 - [08/16/23 17:01:46] <Info>: Waiting for DFU mode devices
 - [08/16/23 17:01:46] <Verbose>: DFU mode device found
 - [08/16/23 17:01:46] <Info>: Checking if device is ready
 - [08/16/23 17:01:46] <Verbose>: Attempting to perform checkm8 on 8015 11
 - [08/16/23 17:01:46] <Info>: Setting up the exploit
 - [08/16/23 17:01:46] <Verbose>: == checkm8 setup stage ==
 - [08/16/23 17:01:46] <Verbose>: Entered initial checkm8 state after 1 steps
 - [08/16/23 17:01:46] <Verbose>: Stalled input endpoint after 8 steps
 - [08/16/23 17:01:46] <Verbose>: DFU mode device disconnected
 - [08/16/23 17:01:46] <Verbose>: DFU mode device found
 - [08/16/23 17:01:46] <Verbose>: == checkm8 trigger stage ==
 - [08/16/23 17:01:47] <Info>: Checkmate!
 - [08/16/23 17:01:47] <Verbose>: Device should now reconnect in download mode
 - [08/16/23 17:01:47] <Verbose>: DFU mode device disconnected
 - [08/16/23 17:01:54] <Info>: Entered download mode
 - [08/16/23 17:01:54] <Verbose>: Download mode device found
 - [08/16/23 17:01:54] <Info>: Booting PongoOS...
 - [08/16/23 17:01:56] <Info>: Found PongoOS USB Device
 - [08/16/23 17:01:56] <Info>: Booting Kernel...
 - [08/16/23 17:01:56] <Info>: Please wait up to 10 minutes for the fakefs to be created.
 - [08/16/23 17:01:56] <Info>: Once the device boots up to iOS, run again without the -c (Create FakeFS) option to jailbreak.

6.之后就是等待设备重启，然后再执行一次palera1n，注意此时就不需要带-c参数了

在这里有如果执行的是不带参数的palera1n，那么操作后就是默认的rootless模式，如果是带了-f，那么操作后就是rootful模式

./palera1n-macos-x86_64 -f

7.之后就根据屏幕提示重复第四步的操作：根据提示先按住电源键和音量-，之后松开电源键但不要松开音量-

8.设备再次重启，之后进入桌面后可以看到palera1n的图标

9.进入palera1n点击sileo，此时可能会报错，只需要再点击一次就会自动下载

10.之后会需要设置ssh密码，自行输入即可

设置ssh密码

11.之后桌面上会出现sileo图标

安装成功

12.之后就可以在sileo中添加存储库和安装越狱插件了，不过现在插件还比较少

palera1n常用命令：

初始操作

设备重启之后的操作

注意事项

1. 1. Rootless越狱之后再连接ssh时，输入的密码就需要是在安装sileo时设置的密码，爱思助手打开ssh通道时显示的密码就不对了

2. 2. rootful模式兼容性会更好一些，比如frida在rootless模式下官方源中是无法下载的但是在rootful模式下就可以，但是很多模块目前也存在即便能安装也不能使用的情况

3. 3. rootful模式貌似ssh有些问题，不能直接用root去登录，需要用mobile这个账号先登录再切换到root（这还是从肉丝佬那知道的）

4. 4. rootful模式的Frida不会自动启动，需要到/usr/sbin目录下手动启动，不知道是不是只有我的会这样

引用链接

[1] Releases · palera1n/palera1n (github.com): https://github.com/palera1n/palera1n/releases
[2] palera1n-macos-x86_64: https://github.com/palera1n/palera1n/releases/download/v2.0.0-beta.7/palera1n-macos-x86_64
[3] Installing palera1n | iOS Guide (cfw.guide): https://ios.cfw.guide/installing-palera1n/#installing-the-jailbreak

历史文章

app抓包大全

DNS劫持和ARP欺诈

Flutter应用逆向抓包

游戏广告sdk分析浅析

安卓设备相关信息详解（二）

小米AX3600 路由器折腾记录

随手分享、点赞、在看是对我们最大的支持

原文始发于微信公众号（移动安全星球）：iOS16越狱