Kevin2600_无线 Fuzzing 之旅

  • 726 浏览

邸成仁

2017/11/14 发布于 技术 分类

本议题将涉及 Wi-Fi、蓝牙、NFC 等常见无线通讯协议安全分析,带领大家一同体验剑走偏锋、反其道而行之的无线 Fuzzing 探索之旅。

文字内容
1. 谛听 — ⽆无线 Fuzzing 之旅
2. 翠花的⽇日常 翠花是位在报社⼯工作的⼥女编辑. 她跟很多⼈人⼀一样享受着科技带来的便捷. 智 能⼿手机成为她⽣生活中必不可少的⼀一部分. 每天早晨上班前, 她喜欢打开收⾳音 机了解下当天的天⽓气和交通状况. 上班途中她发现个化妆品打折的海报. 为 了获取更多的信息她⽤用⼿手机读取了海报上的⼆二维码标签. 结束了早上的⼯工作后,翠花喜欢到附近的咖啡店⾥里吃午餐. 最主要的原因 是店家提供免费 WIFI 上⺴⽹网. 下班归途中她带上新买的 Bluetooth ⽿耳机, 听 点⾳音乐放松下. 半路上翠花收到了家⾥里的智能电饭锅发来的 SMS 短信, 提 醒她晚饭已经蒸好, 回到家后即可⽤用餐.
4. ⽆无线电波 原理从未改变: 频率 —> 调制 —> 编码 —> ⽆无线协议 攻击⽅方式五花⼋八⻔门: 信号干扰; 重放攻击; 数据伪造; 模糊测试 …
5. 模糊测试 寻找漏洞的⽅方法. 通过向⺫⽬目标发送畸形数据, 试图使⺫⽬目标崩溃. 意想不到的数据: PDF ⽂文档; 图像⽂文件 or 其它交互形式? 意想不到的效果: Stack Overflow; Underflow; Out Bound Read ..
6. 视频: TEMPEST
7. TEMPEST 简介 电磁波干扰? 任何电⼦子设备都会产⽣生电磁场, 对其它⽆无线电设备造成干扰. 电磁波泄漏隐患? 显⽰示屏电磁信号可别解码并还原, 从⽽而达到远程监控⺫⽬目的.
8. 视频: ⼆二维码注⼊入
9. ⼆二维码注⼊入 ⼆二维码拥有 2000+ 的数据存储量, ⾜足以注⼊入完整的恶意代码. 同样的攻击⽅方式也可运⽤用到 DHCP-主机名; NFC-NDEF; Bluetooth-Name
10. ⽆无线 Fuzzing - WIFI
11. Aircrack-NG 1.0 DoS 攻击
12. AirCrack-NG 1.0 — EAPoL 溢出 EAPoL — IEEE802.1X ⺴⽹网络端⼝口认证协议. Aircrack-NG在解析 EAPOL 认证包时默认最 ⼤大值为 256 bytes. 且不会超过此范围. 尝试在⻓长度位标识超出 256 bytes, 但实际 payloads 并未超出 (Invalid memory read) or 尝试实际 payloads 超出256 bytes (Heap corruption)
13. WIFI 交互流程
14. 数据结构
15. SSID Injection 攻击 众多⽆无线路由器 OS 具有”site survey“功能. ⽤用户可扫描周边⽆无线设备. 但对扫描 到的数据没有进⾏行正确过滤处理 ⼊入侵者可利⽤用 airbase-ng 或 mdk3 等⼯工具创建带有恶意代码 SSID 对⽆无线设备进 ⾏行 Fuzzing 攻击
16. SSID Injection 案例 ⽆无线⼊入侵者的必备设备 WIFI Pineapple (⼤大菠萝) 2.6 路由器操作系统 DD-WRT “23 SP1-RC4”, “23 SP2” and “24” SSID 仅⽀支持 32 bytes, 但可通过多个SSID 组合的⽅方式达到完整恶意代码⺫⽬目的
17. WIFuzz 攻击 通过 Python 的 Scapy 库⽣生成篡改 WIFI 802.11数据包 涵盖 WIFI ⺴⽹网络中的每⼀一阶段 Assoc; Auth; Deauth; EAPoL .. http://code.google.com/p/wifuzz/
18. ⽆无线 Fuzzing - 蓝⽛牙
19. Bluetooth 101 Bluetooth 2.0: 2.4ghz; 79 频道;1Mhz 带宽; 早期被⼲⼴广泛运⽤用于⽿耳机等 Bluetooth 4.0 (低功耗): 2.4ghz; 40 频道;2Mhz 带宽; IOT 设备的标配之⼀一 暴露年龄 的经典攻击: BlueBug; BlueSnarf; BlueSmack; CarWhisperer …
20. Bluetooth 架构 2.0
21. L2CAP 攻击 Ping of Death l2ping —> 65535 payload BSS (Bluetooth Stack Smasher) L2CAP Fuzzer 不容易 Debug 和判断攻击包是否抵达攻击⺫⽬目标 L2CAP ⽆无需配对认证, 仅需⺫⽬目标设备可被识别即可
22. 视频: 蓝⽛牙 L2cap DoS
23. L2CAP 攻击 - 不同的产品, 相同的芯⽚片 通过 FCC ID 确认蓝⽛牙芯⽚片类型 BM2042 BM2042 模块适⽤用于蓝⽛牙v2.0 以及 HID profile
24. 配对攻击 众多蓝⽛牙设备的默认配对密码是 0000 或 1234 (并且⽆无法改变) 蓝⽛牙设备名 A*248 造成移动设备重启(Windows Mobile 6) 蓝⽛牙设备名 HTML5 - JS XSS Injection 旧壶装新酒 ..
25. 视频: Name - Injection
26. Bluetooth 架构 4.0
27. BTLE 数据分析 - 神器 LightBlue: 夸平台 LE 数据交互分析软件 Ubertooth: 开源 & 价格适中 & 混杂模式嗅探 (必备) Nordic NRF51822: 详细官⽅方⽂文档 & 配套嗅探程序 (Windows 可⽤用)
28. BTLE 数据分析 - 智能灯泡 LightBlue 对灯泡 Recon 基本信息 (Just Works 000000) 嗅探 APP 和智能灯泡之间的数据交互 (开&关) 蓝⽛牙 4.0 dongle & Gattool 对数据篡改 or 重放 …
29. 蓝⽛牙智能锁 - DoS 攻击 (3 分钟)
30. Fuzzing 智能锁 通过 Ubertooth 嗅探 APP 和智能锁之间的数据交互 通过 Python 脚本 Fuzzing 篡改交互数据 bytes by bytes 当锁接收篡改数据⽆无法正常解析, 进⼊入 error state .. ⾃自动开锁..
31. ⽆无线 Fuzzing - SMS
32. BTS 基站研究 伪基站危害 vs GSM 通讯安全研究 GSM 协议 Fuzzing for Crash - 测试⺫⽬目标众多 MOBILE PWN2OWN 2015 - 攻陷 Samsung S6 基带芯⽚片
33. BTS基站搭建 YateBTS 让 GSM 基站搭建变得犹如安装应⽤用软件般简单 BladeRF x40 + GSM 天线 + 2台⼿手机 + SIM 卡 —> ⼿手机⺴⽹网络测试平台
34. 注意事项 将 MCC 和 MNC 设为 Test-Network (00101), 避免跟正常⺴⽹网络冲突 推荐使⽤用信号屏蔽箱或减低基站发送功率, 以避免信号泄漏 (GSM Only)
35. 视频: YateBTS
36. YateBTS 中间⼈人
37. SMS 短信 GSM 短信发送 Users —> SMSC —> Users GSM 静默短信 Type 0 可⽤用于对⼿手机⽤用户进⾏行定位 短信分为Text ⽂文本模式和 PDU 协议数据单元模式 (WAP, MMS)
39. SMS Fuzzing ⼿手机 GSM baseband 没有对 SMS 进⾏行 packet inspection PDU 畸形数据导致 Nokia 3310; 6210 系列⼿手机系统崩溃重启 Android (RIL) ⼿手机可通过 “ adb logcat -b radio “ 进⾏行实时监控 GSM 假基站模式不等同于真实运营商模式 (packet inspection)
40. 总结 Kein System ist Sicher:100% 安全的系统并不存在. ⿊黑客往往剑⾛走偏锋, 反其道⽽而⾏行之. 百密⼀一疏将导致系统安全⼟土崩⽡瓦解. 易⽤用性 vs 安全性,⼀一个永恒的难题. 任何交互都可能成为潜在的攻击点.