Hôm nay chúng ta hack điều khiển từ xa không dây sử dụng các cuộc tấn công replay RF sử dụng YARD Stick!
Trong tập phim này, chúng tôi bao gồm:
- Làm thế nào để thu thập intel trên thiết bị bạn muốn hack- Làm thế nào để phát tín hiệu không dây của mình- Xác định điều chế- Tín hiệu giải mã OK- Truyền Attack Replay với RfCat và YARD Stick Một
Bước 1: Thu thập Intel
Đầu tiên chúng ta cần phải xác định các thiết bị chúng tôi đang đi để hack và tìm hiểu càng nhiều về nó càng tốt. Rất may tại hiện nay được thực hiện dễ dàng bởi FCC. Trong bản demo của chúng tôi, chúng tôi đang sử dụng ổ cắm điện điều khiển từ xa. Bạn có thể mua thiết bị rẻ tiền mà bạn có thể trên các website bán hàng trực tuyến như Amazon với FCC ID PAGTR-009-1B hay ebay...
http://amzn.to/1PejY58https://fccid.io/document.php?id=1729526
Bước 2: Sniffing the Signal
Bây giờ chúng ta biết được nơi để tìm kiếm các tín hiệu, tại 314.9020 MHz và rằng nó được sử dụng ASK hay Amplitude phím Shift điều chế Key. Sử dụng một trong những công cụ yêu thích của RTL-SDR, bây giờ chúng tôi có thể Sniffing thấy tín hiệu lên để phân tích. Để làm như vậy, chúng tôi sử dụng GQRX trên Kali Linux 2.0.
Nó chỉ là một vấn đề điều chỉnh các dongle RTL-SDR để MHz tần số 315 và ghi lại các tín hiệu.
315 MHz không phải là về mặt kỹ thuật một băng tần ISM không có giấy phép như WiFi, nhưng FCC có một bản quyền miễn phí phần 15 ban nhạc cho "Short Range thiết bị" mà thường sử dụng 315 MHz. Tại châu Âu, bạn sẽ thường tìm thấy 433 MHz.
Bước 3: Xác định và Giải mã tín hiệu
Vì chúng ta đang đối phó với các tín hiệu vô tuyến - dạng sóng thực tế hơn là các gói tin không dây kỹ thuật số hoặc khung hình giống như với WiFi - chúng tôi không có sự sang trọng của việc sử dụng một máy phân tích như Wireshark. Thay trong trường hợp này tôi chỉ cần đi để mở ra các tập tin trong Audacity biên tập âm thanh.
Và ở đây, nếu chúng ta phóng to chúng ta sẽ thấy các tín hiệu thực tế. Những gì đang xảy ra ở đây là khi nút từ xa được ép chúng tôi nhận được những xung. Đây là những gì được gọi là On-Off-Keying, và đó là hình thức đơn giản nhất của biên độ-shift keying điều chế. Trong trường hợp này một xung là một số nhị phân 1 và sự vắng mặt của một xung là một số không nhị phân. Đó là loại giống như CW hoặc mã Morse.
Thêm chi tiết về OOK: https://www.maximintegrated.com/en/app-notes/index.mvp/id/4439
Bước 3: Giải mã tín hiệu
Nhìn vào dạng sóng, chúng tôi có thể xác định một 1 bởi một xung và 0 bởi sự thiếu hợp đó. Đo được khoảng cách của một xung đơn giúp xác định thêm hai xung liên tiếp hơn.
Nhìn vào dạng sóng của chúng tôi, chúng tôi có được 10001110 11101000 11101000 10001000 10001000 11101000 10001000 10001000. Nếu chúng ta chuyển đổi này để hex trong dòng lệnh, nói với điều này bash một lớp lót: printf '% x \ n' "$ ((2 # 10.001.110) ) "
Hoặc chỉ cần tìm kiếm nhị phân để chuyển đổi hex và những gì chúng tôi kết thúc với 8E E8 E8 88 88 88 88 E8.
Các bit cuối cùng chúng ta cần biết là tốc độ dữ liệu - hoặc làm thế nào nhanh mỗi chirp trong On-Off-Keying được truyền đi.
Để làm điều đó, chúng tôi sẽ chỉ cần chọn một trong những một hay không bit trong thanh biên tập Audacity của chúng tôi và xác định từng chút kéo dài bao lâu chỉ trong vài giây. Trong trường hợp của chúng tôi nó sẽ ở một tốc độ 0,00055 giây, hoặc 550 micro giây, đó là khoảng 1.800 bit mỗi giây.
Bước 4: Gửi Replay tấn công
Cuối cùng chúng tôi cháy lên RfCat để thực hiện các cuộc tấn công replay. Đầu tiên chúng ta sẽ cần phải thiết lập tần số với d.setFreq (315.060.000).
Tiếp theo chúng ta sẽ cần phải thiết lập các điều chế On-Off-Keying với Shift Keying Amplitude với d.setMdmModulation (MOD_ASK_OOK)
Sau đó, nó là tốc độ dữ liệu mà chúng tôi đã tìm ra được khoảng 550 micro giây do đó sẽ được d.setMdmDRate (int (1.0 / 0,000550))
Cuối cùng chúng ta có thể tiêm các giá trị hex chúng tôi chuyển đổi với d.RFxmit ( "\ x8E \ xE8 \ xE8 \ x88 \ x88 \ xE8 \ x88 \ x88 \ x00 \ x00 \ x00" * 40)
d.RFxmit sẽ truyền các giá trị hex sử dụng các thông số chúng ta chỉ cần thiết và tôi đã đi trước và thêm ba byte null ở cuối cùng bởi vì chúng tôi muốn truyền tải tín hiệu hơn và hơn một vài lần để đảm bảo thu nhặt nó lên - - trong trường hợp này tôi đang sử dụng * 40 để truyền tải các dữ liệu nhị phân 40 lần.
Nếu mọi việc suôn sẻ, bạn nên bắt chước hành động của tín hiệu từ xa bắt trong bước 2.
Trong tập phim này, chúng tôi bao gồm:
- Làm thế nào để thu thập intel trên thiết bị bạn muốn hack- Làm thế nào để phát tín hiệu không dây của mình- Xác định điều chế- Tín hiệu giải mã OK- Truyền Attack Replay với RfCat và YARD Stick Một
Bước 1: Thu thập Intel
Đầu tiên chúng ta cần phải xác định các thiết bị chúng tôi đang đi để hack và tìm hiểu càng nhiều về nó càng tốt. Rất may tại hiện nay được thực hiện dễ dàng bởi FCC. Trong bản demo của chúng tôi, chúng tôi đang sử dụng ổ cắm điện điều khiển từ xa. Bạn có thể mua thiết bị rẻ tiền mà bạn có thể trên các website bán hàng trực tuyến như Amazon với FCC ID PAGTR-009-1B hay ebay...
http://amzn.to/1PejY58https://fccid.io/document.php?id=1729526
Bước 2: Sniffing the Signal
Bây giờ chúng ta biết được nơi để tìm kiếm các tín hiệu, tại 314.9020 MHz và rằng nó được sử dụng ASK hay Amplitude phím Shift điều chế Key. Sử dụng một trong những công cụ yêu thích của RTL-SDR, bây giờ chúng tôi có thể Sniffing thấy tín hiệu lên để phân tích. Để làm như vậy, chúng tôi sử dụng GQRX trên Kali Linux 2.0.
Nó chỉ là một vấn đề điều chỉnh các dongle RTL-SDR để MHz tần số 315 và ghi lại các tín hiệu.
315 MHz không phải là về mặt kỹ thuật một băng tần ISM không có giấy phép như WiFi, nhưng FCC có một bản quyền miễn phí phần 15 ban nhạc cho "Short Range thiết bị" mà thường sử dụng 315 MHz. Tại châu Âu, bạn sẽ thường tìm thấy 433 MHz.
Bước 3: Xác định và Giải mã tín hiệu
Vì chúng ta đang đối phó với các tín hiệu vô tuyến - dạng sóng thực tế hơn là các gói tin không dây kỹ thuật số hoặc khung hình giống như với WiFi - chúng tôi không có sự sang trọng của việc sử dụng một máy phân tích như Wireshark. Thay trong trường hợp này tôi chỉ cần đi để mở ra các tập tin trong Audacity biên tập âm thanh.
Và ở đây, nếu chúng ta phóng to chúng ta sẽ thấy các tín hiệu thực tế. Những gì đang xảy ra ở đây là khi nút từ xa được ép chúng tôi nhận được những xung. Đây là những gì được gọi là On-Off-Keying, và đó là hình thức đơn giản nhất của biên độ-shift keying điều chế. Trong trường hợp này một xung là một số nhị phân 1 và sự vắng mặt của một xung là một số không nhị phân. Đó là loại giống như CW hoặc mã Morse.
Thêm chi tiết về OOK: https://www.maximintegrated.com/en/app-notes/index.mvp/id/4439
Bước 3: Giải mã tín hiệu
Nhìn vào dạng sóng, chúng tôi có thể xác định một 1 bởi một xung và 0 bởi sự thiếu hợp đó. Đo được khoảng cách của một xung đơn giúp xác định thêm hai xung liên tiếp hơn.
Nhìn vào dạng sóng của chúng tôi, chúng tôi có được 10001110 11101000 11101000 10001000 10001000 11101000 10001000 10001000. Nếu chúng ta chuyển đổi này để hex trong dòng lệnh, nói với điều này bash một lớp lót: printf '% x \ n' "$ ((2 # 10.001.110) ) "
Hoặc chỉ cần tìm kiếm nhị phân để chuyển đổi hex và những gì chúng tôi kết thúc với 8E E8 E8 88 88 88 88 E8.
Các bit cuối cùng chúng ta cần biết là tốc độ dữ liệu - hoặc làm thế nào nhanh mỗi chirp trong On-Off-Keying được truyền đi.
Để làm điều đó, chúng tôi sẽ chỉ cần chọn một trong những một hay không bit trong thanh biên tập Audacity của chúng tôi và xác định từng chút kéo dài bao lâu chỉ trong vài giây. Trong trường hợp của chúng tôi nó sẽ ở một tốc độ 0,00055 giây, hoặc 550 micro giây, đó là khoảng 1.800 bit mỗi giây.
Bước 4: Gửi Replay tấn công
Cuối cùng chúng tôi cháy lên RfCat để thực hiện các cuộc tấn công replay. Đầu tiên chúng ta sẽ cần phải thiết lập tần số với d.setFreq (315.060.000).
Tiếp theo chúng ta sẽ cần phải thiết lập các điều chế On-Off-Keying với Shift Keying Amplitude với d.setMdmModulation (MOD_ASK_OOK)
Sau đó, nó là tốc độ dữ liệu mà chúng tôi đã tìm ra được khoảng 550 micro giây do đó sẽ được d.setMdmDRate (int (1.0 / 0,000550))
Cuối cùng chúng ta có thể tiêm các giá trị hex chúng tôi chuyển đổi với d.RFxmit ( "\ x8E \ xE8 \ xE8 \ x88 \ x88 \ xE8 \ x88 \ x88 \ x00 \ x00 \ x00" * 40)
d.RFxmit sẽ truyền các giá trị hex sử dụng các thông số chúng ta chỉ cần thiết và tôi đã đi trước và thêm ba byte null ở cuối cùng bởi vì chúng tôi muốn truyền tải tín hiệu hơn và hơn một vài lần để đảm bảo thu nhặt nó lên - - trong trường hợp này tôi đang sử dụng * 40 để truyền tải các dữ liệu nhị phân 40 lần.
Nếu mọi việc suôn sẻ, bạn nên bắt chước hành động của tín hiệu từ xa bắt trong bước 2.
0 nhận xét:
Post a Comment