iOSRestrictionBruteForce：一款针对iOS限制密码的安全测试工具

关于iOSRestrictionBruteForce

iOSRestrictionBruteForce是一款针对iOS限制密码的安全测试工具，在该工具的帮助下，广大用户或安全研究人员可以通过对iOS设备的限制密码执行渗透测试的方式来判断设备的安全性。

当前版本的iOSRestrictionBruteForce基于Python开发，该工具利用的是iPhone/iPad设备中备份数据未加密的安全缺陷，从而识别和发现密码哈希和盐值。

运行机制

该工具通过使用Passlib和开发人员的lambda函数破解pdkdf2哈希来实现其功能，大致运行机制如下：

1、自动尝试最常见的20个四位数pin码；

2、尝试1000-后续五十年的生日日期；

3、爆破1-9999的pin码；

4、将破解成功的pin码添加到本地数据库中；

工具依赖

该工具已在Python2.7和Python3.7环境中继续你更难过完整测试，因此我们需要在本地设备上安装并配置好任意版本Python环境即可。

除此之外，该工具的正常运行还需要用到requests库，我们可以使用下列命令进行安装：

pip install requests

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/thehappydinoa/iOSRestrictionBruteForce

然后，我们需要确保使用iTunes或libimobiledevice将iOS设备数据备份到计算机中。

接下来，使用下列命令运行工具脚本ioscrack.py：

python ioscrack.py

工具帮助

usage: ioscrack.py [-h] [-c] [--mojave] [-b folder]

a script to crack the restriction passcode of an iDevice

optional arguments:

-h, --help            显示工具帮助信息和退出

-c, --cli              交互式模式，支持用户输入

-m, --mojave         帮助用户在macOS mojave上运行脚本

-b folder, --backup folder

                    备份文件的存储路径

工具使用演示

工具运行截图

如何解决安全问题？

1、对备份数据/文件进行加密；

2、只在授信任的设备上备份iOS设备数据；

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

iOSRestrictionBruteForce：【GitHub传送门】

参考资料

http://www.ietf.org/rfc/rfc2898.txt

http://www.datagenetics.com/blog/september012/index.html

https://www.python.org/downloads/release/python-271/

https://www.python.org/downloads/release/python-365/

http://docs.python-requests.org/en/master/

https://www.apple.com/itunes/download/

https://github.com/libimobiledevice/libimobiledevice

本文作者：Alpha_h4ck

转载自FreeBuf.COM