电脑疯子技术论坛|电脑极客社区

 找回密码
 注册

QQ登录

只需一步,快速开始

[无线技术教程] 技术分享 | 如何使用BtleJuice黑入BLE智能电灯泡

[复制链接]
zhaorong 发表于 2018-8-23 11:04:37 | 显示全部楼层 |阅读模式

前言

在这篇文章中,我们将讨论如何使用BtleJuice通过执行中间人(MiTM)攻击来利用
一个蓝牙低能耗(BLE)智能灯泡。本文中探讨的技术,也同样适用于
其他基于BLE的智能设备。

15341517697891.png


概述

本文的主要内容包括:

安装BtleJuice;

分析在目标设备上运行的所有截获的GATT操作;

使用GATT操作执行Man-in-the-middle(中间人)攻击;

将数据导出到文件。


以下是一些必须满足的基本硬软件要求:

硬件

基于BLE的物联网智能灯泡

两个蓝牙适配器


软件

Node.js > 4.3.2

虚拟机(VMware/Virtual Box)

BtleJuice


安装 BtleJuice

BtleJuice是执行蓝牙智能设备的中间人攻击(也被称为蓝牙低能量)的完整框架。BtleJuice由两个组件
组成 – 拦截代理和核心。这两个组件需要在两个系统上单独运行,每个系统都连接了蓝牙4.0+适配器。
我们将使用一台物理机器和另一台运行在同一主机上的虚拟机(VM)。

注意:不是使用两台独立的物理机器。其中一个适配器将连接到主机,另一个适配器连
接到VM。下面,我们按照以下步骤在主机和VM上来安装BtleJuice。

Step 1:Btlejuice需要一个相当新版本的node(>=4.3.2) 和npm。
你可以按照本指南使用nvm(Node 版本管理器)来进行安装。

Step 2:使用包管理器安装BtleJuice的依赖项:

  1. sudo apt-get install bluetooth bluez pbbluetooth-dev pbudev-dev
复制代码


Step 3:安装 Btlejuice:

  1. npm install -g btlejuice
复制代码


设置BtleJuice代理(在VM中)

Step 1:将蓝牙适配器连接到VM并启动蓝牙:

  1. service bluetooth start
复制代码


1534117118_5b70c4fe04713.png


Step 2:通过hciconfig命令查看适配器是否已按预期工作:

1534117133_5b70c50d197b2.png


Step 3:在虚拟机中启动btlejuice-proxy:

1534117148_5b70c51c7a524.png


Step 4:找到VM的IP地址,以便我们可以从主机连接到它。或在终端中运行ifconfig来获取IP:

1534117162_5b70c52ac7f9b.png


设置BtleJuice核心(在主机上)

Step 1:在主机上打开终端并运行hciconfig:

42.png


Step 2:运行sudo service bluetooth stop停止蓝牙服务:

33.png


Step 3:在主机上插入蓝牙适配器:

1534117228_5b70c56c9814c.jpg


Step 4:通过hciconfig命令查看连接到主机的蓝牙适配器是否已按预期工作:

20.png


Step 5:通过运行sudo hciconfig hciX up打开蓝牙适配器,其中的X是上一步中获得的蓝牙适配器号:

19.png


Step 6:现在我们需要运行BtleJuice核心并连接虚拟机:

  1. sudo btlejuice -u <VM IP address> -w
复制代码


其中u是运行btlejuice-proxy的VM的IP地址,w表示启动Web界面:

18.png


与此同时,在VM中运行的btlejuice-proxy将会显示客户端连接的消息:

17.png


Step 7:一旦主机上运行的BtleJuice核心成功连接到bltjejuice-proxy,
我们打开浏览器并导航至http://localhost:8080/:

16.png


Step 8:单击蓝牙图标的 “Select Target”按钮。此时将会出现一个对话框,
并显示核心检测到的所有可用蓝牙设备:

15.png


Step 9:双击目标设备并等待接口准备就绪(蓝牙按钮方面将改变):

14.png


Step 10:将关联的移动应用程序与刚创建的dummy设备连接:

1534117379_5b70c603564d5.png


Step 11:如果连接成功,则主界面上将显示已连接的事件:

13.png


通过重放GATT操作执行中间人攻击

BtleJuice充当移动应用程序和BLE智能灯泡之间的代理,发送到灯泡的任何命令

都将被BtleJuice捕获并被转发给灯泡。

让我们使用移动应用程序与灯泡进行交互,并尝试破译命令的结构方式。

Step 1:使用Android应用程序将灯泡颜色更改为蓝色,蓝色的RGB值为:2, 0, 255:

1534117415_5b70c62714770.png

BtleJuice捕获相应的数据包:

12.png

现在将灯泡颜色更改为红色,RGB值为: 255, 8, 0:

11.png

BtleJuice捕获与命令相对应的数据包,以将颜色更改为红色:

10.png


检查数据包,我们可以注意到一个模式。应用程序中显示的颜色的RGB值与捕获

中的第二个,第三个和第四个字节匹配。

因此,如果我们更改这些字节然后重放数据包,应该能够获得不同的颜色。

Step 2:从捕获的数据包列表中,右键单击颜色更改命令,然后单击replay:

9.png


Step 3:将数据值中的颜色字节从8c 86 ff更改为任何其他值,例如8c 45 ff,这是一种带有紫色调的颜色:

8.png

1534117624_5b70c6f811df3.png


Step 4:单击“ Write”按钮。 我们会注意到灯泡颜色变为了紫色:

7.png


导出捕获的数据

BtleJuice可以将捕获的数据导出到文件中,以便以后使用或在其他工具中进行分析。

单击export按钮并下载捕获数据的JSON(或文本)版本:

6.png


至此,我们已经演示了BtleJuice作为独立工具的使用。







您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2025-1-23 07:05

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表