之前简单进行了 LLDB 的使用, 现在把微信的ShareExtension 中发送给好友的进行调试~ 由于我的越狱手机是 iPhone 5 所以我的架构选择都是 armv7
ps: 不知道是不是我的网络原因, 我在使用的过程中总会断开 lldb

0x00 源文件

• 先去 PP助手下载微信, 然后解压后拿到 WeChatShareExtensionNew 这个可执行文件
• class-dump 出其中的头文件
• 准备好 Hopper + 计算器(切换至科学计算器)

Mach-o 文件

Headers

Hopper

Calculater

0x01 准备

• 连接手机

$ ssh root@192.168.2.104  // 初始密码 alpine

• 指定要 debug 的进程端口

$ debugserver *:12345 -a "WeChatShareExtensionNew"

• 新建窗口进入 LLDB

$ process connect connect://192.168.2.104:12345

• 查找 ASLR偏移量 , 模块偏移后的基地址（0x5f000）= ASLR偏移量（0x5b000）+ 模块偏移前基地址（0x4000） 加粗部分一定要记住这个公式, 因为 Hopper 中给我提供的都是偏移前的地址, 打断点的时候需要知道偏移后的地址, 这个偏移量只有在进程杀死的时候才会改变

$ image list -o -f | grep WeChatShareExtensionNew // 我的是 0x000d3000

连接成功

记录下偏移前地址

0x02 探索

• 由于我是发送给好友的, 所以检索一下 share + friends 这两个关键字, 如图, 明明上很可能就是我的切入点
  
  如图
• 感觉这个很像我点击确定时候的方法, 我打个断点试试看

// -[ShareFriendViewController onSessionListViewConfirmSend:]
// 偏移前地址为: 0x00013512
// 偏移量: 0x000d3000
// 偏移后地址为: 0xE6512
$ br s -a 0xE6512

查找偏移前地址

断点成功

• 进行操作, 点击确定按钮看看是否进入断点

  
  

• 进入断点成功, 说明我的切入点没有找错

  
  
  
  
  寻找有用变量

• 上一步中寻找有用变量, 发现没有什么有用的, 除了朋友的 wxid 就是证明我没有找错入口😂, 接下来去看看伪代码
  

• 通过伪代码可以看得出来, 当有网络的时候会执行一个 shareToFriends: 方法, 没有网络的时候会执行一个弹窗提示网络问题, 那么可想而知, 下一步就是取找那个 shareToFriends: 方法进行断点调试
  

  找到了一个, 老方法断点

// -[MSEShareMainViewLogicController shareToFriends:]
// 偏移前地址为: 0x00015b0c
// 偏移量: 0x000d3000
// 偏移后地址为: 0xE8B0C
$ br s -a 0xE8B0C

断点成功

• 既然能进入断点那就是没有找错, 直接去看伪代码, 发现有下面四个 send 方法, 字面意思很明显, 第一个是我要的

// sendUrlMessageToUser
// sendImageMessageToUser
// sendVideoMessageToUser
// sendFileAppMessageToUser

• 经过断点测试发现, 分享出去的内容都是通过 MSEShareMainViewLogicController 获取的, 注意 url 的类型, 因为我没注意这个类型, 以为是字符串在测试的时候很大的坑, 总是闪退

• 分析一下这个伪代码, 就是一个 MSEMessageMgr 的单利调用的这个方法, 这里我就长话短说, 因为我自己在测试的时候为了严谨性, 在这个方法处也进行了断点, 查看了各个参数, 以及修改参数进行发送, 发现就是这个方法进行发送的, 里面是用 Google 的 Protocol Buff 进行数据传输发送分享消息的, 由于比较复杂没有对这部分深入研究
  

• 到了这里就可以试试看自己模拟发送了, 断点在 send 方法上, 因为需要 MSEMessageMgr 的头文件, 不然没办法直接使用, 当然用 Runtime 也可以, 但是调试的时候会很不好写, 还是断到该有的位置就好

// 偏移前地址为: 00030bf2
// 偏移量: 0x000d3000
// 偏移后地址为: 0x103BF2
$ br s -a 0x103BF2

// 进入断点之后创建需要的内容
$ e (id)[MSEMessageMgr sharedInstance]  // 单利
$ e (id)[NSURL URLWithString:@"https://www.baidu.com"] // 分享出去的网址
$ e (id)[NSURL URLWithString:@"https://p0.meituan.net/coupon/b54603b7323106f65815e51dc906e7946475.jpg@!style1"] // 分享图标, 我用的美团外卖的
$ e (id)[$0 sendUrlMessageToUser:@"wxid_rkmvosx1qdn" withContentUrl:$1 withThumbnailImgUrl:$6 withUrlTitle:@"你猜我是不是美团" Desc:@""]

这就是创建步骤, 以及发送步骤, $7的时候发送了一个没有图标的, $8是一个有图标的, 还有一个带有描述的分享(没有截图那个)

PS: 研究这个的目的是, 我发现封号的微信, 可以通过这种方式发消息出去, 原本封号的微信是发不出去任何消息, 以及任何操作, 但是这个可以将标题作为我要发送的问题给别人, 告诉别人我封号了啊哈哈, 但是研究到一个地方出现了卡壳, 那就是 这个 ShareExtension 我没有办法转换成插件注入到 WeChat 中, 网上找了一个将 Mach-o 转换成 Dylib 的工具, 成功了, 但是这个 ShareExtension 中使用 Mars.Frameworks, 我没有办法加载, 导致进入界面就闪退, 当然也许不是这个的原因, 可能是不同进程不能插入的原因, 但是希望有解决办法的大神能帮我一下😂, 还有一种方式就是破解 ProtoBuff 的传输过程, 模拟请求达到效果