iOSRestrictionBruteForce是一款针对iOS限制密码的安全测试工具,在该工具的帮助下,广大用户或安全研究人员可以通过对iOS设备的限制密码执行渗透测试的方式来判断设备的安全性。
当前版本的iOSRestrictionBruteForce基于Python开发,该工具利用的是iPhone/iPad设备中备份数据未加密的安全缺陷,从而识别和发现密码哈希和盐值。
该工具通过使用Passlib和开发人员的lambda函数破解pdkdf2哈希来实现其功能,大致运行机制如下:
1、自动尝试最常见的20个四位数pin码;
2、尝试1000-后续五十年的生日日期;
3、爆破1-9999的pin码;
4、将破解成功的pin码添加到本地数据库中;
该工具已在Python2.7和Python3.7环境中继续你更难过完整测试,因此我们需要在本地设备上安装并配置好任意版本Python环境即可。
除此之外,该工具的正常运行还需要用到requests库,我们可以使用下列命令进行安装:
pip install requests
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/thehappydinoa/iOSRestrictionBruteForce
然后,我们需要确保使用iTunes或libimobiledevice将iOS设备数据备份到计算机中。
接下来,使用下列命令运行工具脚本ioscrack.py:
python ioscrack.py
usage: ioscrack.py [-h] [-c] [--mojave] [-b folder]
a script to crack the restriction passcode of an iDevice
optional arguments:
-h, --help 显示工具帮助信息和退出
-c, --cli 交互式模式,支持用户输入
-m, --mojave 帮助用户在macOS mojave上运行脚本
-b folder, --backup folder
备份文件的存储路径
1、对备份数据/文件进行加密;
2、只在授信任的设备上备份iOS设备数据;
本项目的开发与发布遵循MIT开源许可证协议。
iOSRestrictionBruteForce:
https://github.com/thehappydinoa/iOSRestrictionBruteForce
http://www.ietf.org/rfc/rfc2898.txt
http://www.datagenetics.com/blog/september012/index.html
https://www.python.org/downloads/release/python-271/
https://www.python.org/downloads/release/python-365/
http://docs.python-requests.org/en/master/
https://www.apple.com/itunes/download/
https://github.com/libimobiledevice/libimobiledevice
精彩推荐