iOSRestrictionBruteForce:一款针对iOS限制密码的安全测试工具
2023-2-28 19:2:38 Author: FreeBuf(查看原文) 阅读量:9 收藏

 关于iOSRestrictionBruteForce 

iOSRestrictionBruteForce是一款针对iOS限制密码的安全测试工具,在该工具的帮助下,广大用户或安全研究人员可以通过对iOS设备的限制密码执行渗透测试的方式来判断设备的安全性。

当前版本的iOSRestrictionBruteForce基于Python开发,该工具利用的是iPhone/iPad设备中备份数据未加密的安全缺陷,从而识别和发现密码哈希和盐值。

 运行机制 

该工具通过使用Passlib和开发人员的lambda函数破解pdkdf2哈希来实现其功能,大致运行机制如下:

1、自动尝试最常见的20个四位数pin码

2、尝试1000-后续五十年的生日日期;

3、爆破1-9999的pin码;

4、将破解成功的pin码添加到本地数据库中;

 工具依赖 

该工具已在Python2.7Python3.7环境中继续你更难过完整测试,因此我们需要在本地设备上安装并配置好任意版本Python环境即可。

除此之外,该工具的正常运行还需要用到requests库,我们可以使用下列命令进行安装:

pip install requests

 工具下载 

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/thehappydinoa/iOSRestrictionBruteForce

(向右滑动,查看更多)

然后,我们需要确保使用iTuneslibimobiledevice将iOS设备数据备份到计算机中。

接下来,使用下列命令运行工具脚本ioscrack.py:

python ioscrack.py

 工具帮助 

usage: ioscrack.py [-h] [-c] [--mojave] [-b folder]a script to crack the restriction passcode of an iDeviceoptional arguments:-h, --help            显示工具帮助信息和退出-c, --cli              交互式模式,支持用户输入-m, --mojave         帮助用户在macOS mojave上运行脚本-b folder, --backup folder                    备份文件的存储路径

(向右滑动,查看更多)

 工具使用演示 

 工具运行截图 

 如何解决安全问题?

1、对备份数据/文件进行加密;

2、只在授信任的设备上备份iOS设备数据;

 许可证协议 

本项目的开发与发布遵循MIT开源许可证协议。

 项目地址 

iOSRestrictionBruteForce

https://github.com/thehappydinoa/iOSRestrictionBruteForce

参考资料:

http://www.ietf.org/rfc/rfc2898.txt

http://www.datagenetics.com/blog/september012/index.html

https://www.python.org/downloads/release/python-271/

https://www.python.org/downloads/release/python-365/

http://docs.python-requests.org/en/master/

https://www.apple.com/itunes/download/

https://github.com/libimobiledevice/libimobiledevice

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651217876&idx=4&sn=b80e9493597517bb5ae257f1101de07f&chksm=bd1dcd5f8a6a4449c4cf0e8b5b8791e7e1adff5fa0f025bbc67ce1fc20d54da348384ecaac69#rd
如有侵权请联系:admin#unsafe.sh