Một số lượng đáng kinh ngạc của các thiết bị sử dụng Bluetooth hoặc Bluetooth Low Energy để liên lạc. Các thiết bị này hiếm khi tắt radio và trong một số trường hợp, chúng được sử dụng một cách có chủ ý làm thiết bị theo dõi cho các mục bị mất. Mặc dù các thiết bị Bluetooth hỗ trợ ngẫu nhiên địa chỉ MAC, nhiều nhà sản xuất không sử dụng nó, cho phép chúng tôi sử dụng các công cụ như Bettercap để quét và theo dõi các thiết bị Bluetooth.
Những loại thiết bị sử dụng Bluetooth
Ngày nay, bạn có thể mong đợi các thiết bị như máy tính xách tay và điện thoại thông minh sử dụng radio Bluetooth. Ngày càng nhiều hơn, Bluetooth đang tìm đường vào gần như mọi thứ, từ các thiết bị theo dõi thông minh để tìm những thứ bị mất cho đến bao súng cảnh sát thông minh mà điện thoại về nhà khi rút vũ khí.
Một điểm chung của các thiết bị này là chúng có thể được phát hiện với Bettercap. Sự khác biệt giữa mức độ hữu ích của thông tin đó thường phụ thuộc vào nhà sản xuất thiết bị, vì Bluetooth là giao thức bảo mật hơn Wi-Fi nếu được triển khai chính xác. May mắn thay, đối với tin tặc, nhiều nhà sản xuất không chọn tận dụng bảo mật thiết bị như ngẫu nhiên địa chỉ MAC, khiến các thiết bị Bluetooth này phát cùng một địa chỉ MAC ở mọi nơi họ đến.
Điều đó làm cho chúng dễ dàng để theo dõi. Nó cũng giúp bạn dễ dàng xác định loại thiết bị nào đứng sau radio Bluetooth. Mặc dù chúng ta có thể thấy các thiết bị Bluetooth gần đó ngẫu nhiên hóa địa chỉ MAC của chúng, nhưng chúng có thể sẽ xuất hiện do nhiều thiết bị đang truyền phát xung quanh chúng ta với cường độ tín hiệu gần như nhau.
Bettercap cho Bluetooth
Bettercap là sự kế thừa của Ettercap và có các mô-đun tấn công cho nhiều loại công nghệ vô tuyến và mạng khác nhau. Hôm nay, chúng ta sẽ tập trung vào mô-đun Bluetooth, nhưng Bettercap có nhiều thứ hơn là chỉ hack Bluetooth. Bettercap cũng có thể săn lùng và tấn công các mạng Wi-Fi, và theo mặc định, sẽ bắt đầu liệt kê các thiết bị trên bất kỳ mạng nào bạn đang sử dụng khi bạn khởi động nó. Khả năng này dịch tốt để xác định và quét các thiết bị Bluetooth.
Công cụ đi kèm với bộ Bluetooth Low Energy cho phép chúng ta làm được nhiều việc hơn là nhìn vào các thiết bị Bluetooth gần đó. Chúng tôi có thể quét địa chỉ MAC của bất kỳ thiết bị nào trong phạm vi và sau đó sử dụng địa chỉ MAC đó để kết nối với thiết bị và lấy lại thông tin về thiết bị đó. Cuối cùng, chúng ta có thể ghi dữ liệu vào thiết bị để cố gắng khai thác nó, giống như một thẻ để theo dõi thiết bị theo thời gian ngay cả khi nó thay đổi địa chỉ MAC.
Những gì chúng ta có thể học
Thông tin là yếu tố đầu tiên của bất kỳ cuộc tấn công nào. Để bắt đầu, chúng tôi sẽ cần tìm hiểu nhà sản xuất thiết bị để chúng tôi có thể có được kiến thức như mã PIN ghép nối mặc định. Khi chúng tôi xác định kiểu máy cụ thể phía sau radio Bluetooth, chúng tôi có thể bắt đầu tìm kiếm thông tin cụ thể có thể được sử dụng để chiếm quyền điều khiển thiết bị qua Bluetooth.
Khi quét một thiết bị Bluetooth, chúng ta có thể tìm hiểu thông tin mà chúng ta không nên có lý do để biết. Chúng tôi có thể xác định phiên bản hệ điều hành mà thiết bị đích đang chạy, tên của thiết bị, nhà sản xuất và thậm chí các chi tiết như mức pin hiện tại. Nếu chúng ta biết một thiết bị đang chạy phần mềm cũ, việc nghiên cứu các lỗ hổng để khai thác sẽ trở nên dễ dàng hơn nhiều. Bước đầu tiên là khám phá thiết bị và quét nó để tìm hiểu thêm về nó.
Những gì bạn cần
Để làm theo hướng dẫn này, tôi khuyên bạn nên bắt đầu với bản cài đặt Kali Linux đầy đủ . Bettercap có thể dễ dàng cài đặt trên một số nền tảng, nhưng Bluetooth sẽ không hoạt động trên macOS.
Bước 1 Cài đặt Bettercap
Nếu bạn đã cài đặt phiên bản Kali cập nhật và nâng cấp đầy đủ, bạn có thể chạy apt install bettercap để cài đặt Bettercap và các phụ thuộc cần thiết. Nếu bạn đang ở trên một hệ thống Linux khác, bạn có thể cài đặt Bettercap bằng cách chạy các lệnh sau trong cửa sổ terminal mới.
apt install golang
go get github.com/bettercap/bettercap
cd $GOPATH/src/github.com/bettercap/bettercap
make build
sudo make installBước 2 Bắt đầu Bettercap
Để bắt đầu Bettercap, bạn chỉ cần chạy sudo bettercap trong cửa sổ terminal.
sudo bettercapbettercap v2.17 (type 'help' for a list of commands)
192.168.0.0/24 > 192.168.0.37 » [02:19:21] [endpoint.new] endpoint 192.168.0.10 detected as 3c:dc:bc:05:77:d4 (Samsung Electronics Co.,Ltd).
192.168.0.0/24 > 192.168.0.37 » [02:19:22] [endpoint.new] endpoint 192.168.0.3 detected as 50:33:8b:68:2d:73 (Texas Instruments).Như bạn có thể thấy, mô-đun mạng bắt đầu theo mặc định và đã bắt đầu phát hiện các thiết bị trên cùng một mạng một cách thụ động. Tuyệt đấy! Nếu chúng tôi muốn xem danh sách các thiết bị cập nhật nhất mà chúng tôi đã xác định, chúng tôi có thể xem nó bằng cách nhập net.show và nhấn Enter .
192.168.0.0/24 > 192.168.0.37 » net.show+--------------+-------------------+---------+-------------------------------+--------+-------+----------+
| IP ▴ | MAC | Name | Vendor | Sent | Recvd | Seen |
+--------------+-------------------+---------+-------------------------------+--------+-------+----------+
| 192.168.0.37 | 30:52:cb:6b:76:5f | wlan0 | Liteon Technology Corporation | 0 B | 0 B | 02:19:17 |
| 192.168.0.1 | 40:70:09:7a:64:97 | gateway | ARRIS Group, Inc. | 590 B | 0 B | 02:19:18 |
| | | | | | | |
| 192.168.0.3 | 50:33:8b:68:2d:73 | | Texas Instruments | 1.8 kB | 0 B | 02:20:42 |
| 192.168.0.10 | 3c:dc:bc:05:77:d4 | | Samsung Electronics Co.,Ltd | 515 B | 0 B | 02:20:41 |
| 192.168.0.65 | 00:26:bb:1c:a0:87 | | Apple, Inc. | 1.1 kB | 0 B | 02:20:40 |
+--------------+-------------------+---------+-------------------------------+--------+-------+----------+
↑ 0 B / ↓ 131 kB / 1078 pktsĐể dừng mô-đun này, chúng tôi có thể chạy net.recon để dừng khám phá.
Bước 3 Chạy Mô-đun đánh hơi Bluetooth
Bây giờ, hãy bắt đầu khám phá Bluetooth! Để bắt đầu, nhập ble.recon và nhấn Enter .
192.168.0.0/24 > 192.168.0.37 » ble.recon on[02:23:55] [sys.log] [inf] ble.recon initializing device ...
[02:23:55] [sys.log] [inf] ble.recon state changed to PoweredOn
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [sys.log] [inf] ble.recon starting discovery ...
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [ble.device.new] new BLE device detected as 69:B0:77:33:32:B7 (Apple, Inc.) -77 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [ble.device.new] new BLE device detected as 11:8D:A3:DD:6F:23 (Apple, Inc.) -62 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [ble.device.new] new BLE device detected as 00:74:BB:1E:51:22 (Microsoft) -68 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [ble.device.new] new BLE device detected as 35:DE:BF:24:DE:02 (Microsoft) -57 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [ble.device.new] new BLE device detected as 26:22:8E:AC:BC:47 (Microsoft) -89 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [ble.device.new] new BLE device detected as 40:16:3B:ED:EF:21 (Samsung Electronics Co.,Ltd) -92 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:55] [ble.device.new] new BLE device detected as 56:73:E6:EA:CE:C5 (Apple, Inc.) -51 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:56] [ble.device.new] new BLE device Tile detected as C9:58:1F:16:7A:43 -79 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:56] [ble.device.new] new BLE device detected as 5B:FA:11:B5:B1:3B (Apple, Inc.) -64 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:56] [ble.device.new] new BLE device detected as 66:8D:90:81:2B:C5 (Apple, Inc.) -83 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:57] [ble.device.new] new BLE device detected as F8:04:2E:B0:57:73 (Samsung Electro-Mechanics(Thailand)) -87 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:23:59] [ble.device.new] new BLE device detected as 39:71:FA:71:9F:53 (Apple, Inc.) -94 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:24:01] [ble.device.new] new BLE device detected as 6A:95:78:A8:8D:FC (Microsoft) -94 dBm.
192.168.0.0/24 > 192.168.0.37 » [02:24:04] [ble.device.new] new BLE device detected as 1A:53:E5:84:E2:10 (Microsoft) -95 dBm.
192.168.0.0/24 > 192.168.0.37 »Khám phá này sẽ tiếp tục miễn là bạn muốn. Các thiết bị chưa được nhìn thấy trong một vài lần quét sẽ tự động thoát khỏi danh sách.
Bước 4 Xác định máy chủ để thăm dò
Sau vài giây, chúng tôi đã thu thập được một danh sách khá lớn. Trong một quán cà phê lúc 2 giờ sáng, tôi đã có thể xác định nhiều thiết bị. Để xem các thiết bị bạn đã phát hiện, nhập ble.show và nhấn Return .
192.168.0.0/24 > 192.168.0.37 » ble.show+---------+-------------------+------+-------------------------------------+--------------------------------------------------------------------+---------+----------+
| RSSI ▴ | MAC | Name | Vendor | Flags | Connect | Seen |
+---------+-------------------+------+-------------------------------------+--------------------------------------------------------------------+---------+----------+
| -51 dBm | 56:73:e6:ea:ce:c5 | | Apple, Inc. | LE + BR/EDR (controller), LE + BR/EDR (host) | ✔ | 02:24:50 |
| -59 dBm | 35:de:bf:24:de:02 | | Microsoft | | ✖ | 02:24:50 |
| -64 dBm | 5b:fa:11:b5:b1:3b | | Apple, Inc. | LE + BR/EDR (controller), LE + BR/EDR (host) | ✔ | 02:24:49 |
| -68 dBm | 69:b0:77:33:32:b7 | | Apple, Inc. | LE + BR/EDR (controller), LE + BR/EDR (host) | ✔ | 02:24:50 |
| -71 dBm | 00:74:bb:1e:51:22 | | Microsoft | | ✖ | 02:24:50 |
| -75 dBm | 11:8d:a3:dd:6f:23 | | Apple, Inc. | Limited Discoverable, LE + BR/EDR (controller), LE + BR/EDR (host) | ✖ | 02:24:50 |
| -77 dBm | c9:58:1f:16:7a:43 | Tile | | BR/EDR Not Supported | ✔ | 02:24:50 |
| -86 dBm | 4f:da:70:25:35:09 | | Google | | ✖ | 02:24:48 |
| -86 dBm | 66:8d:90:81:2b:c5 | | Apple, Inc. | LE + BR/EDR (controller), LE + BR/EDR (host) | ✔ | 02:24:46 |
| -88 dBm | f8:04:2e:b0:57:73 | | Samsung Electro-Mechanics(Thailand) | | ✖ | 02:24:48 |
| -90 dBm | 40:16:3b:ed:ef:21 | | Samsung Electronics Co.,Ltd | | ✖ | 02:24:47 |
| -91 dBm | 1a:53:e5:84:e2:10 | | Microsoft | | ✖ | 02:24:45 |
| -91 dBm | 26:22:8e:ac:bc:47 | | Microsoft | | ✖ | 02:24:49 |
| -91 dBm | 61:b7:ab:e4:84:e7 | | Apple, Inc. | LE + BR/EDR (controller), LE + BR/EDR (host) | ✔ | 02:24:36 |
| -91 dBm | 6a:95:78:a8:8d:fc | | Microsoft | | ✖ | 02:24:48 |
| -91 dBm | 7a:e8:23:e7:b5:59 | | Apple, Inc. | LE + BR/EDR (controller), LE + BR/EDR (host) | ✔ | 02:24:23 |
| -91 dBm | 7d:e3:6c:c7:12:7c | | Apple, Inc. | LE + BR/EDR (controller), LE + BR/EDR (host) | ✔ | 02:24:44 |
| -95 dBm | 39:71:fa:71:9f:53 | | Apple, Inc. | Limited Discoverable, LE + BR/EDR (controller), LE + BR/EDR (host) | ✖ | 02:24:41 |
+---------+-------------------+------+-------------------------------------+--------------------------------------------------------------------+---------+----------+
192.168.0.0/24 > 192.168.0.37 » [02:24:55] [ble.device.lost] BLE device 7A:E8:23:E7:B5:59 (Apple, Inc.) lost.
192.168.0.0/24 > 192.168.0.37 » [02:25Bước 5 Quét và tương tác với các thiết bị
Sau khi chúng tôi xác định một thiết bị quan tâm, chúng tôi có thể sử dụng Bettercap để thẩm vấn thêm. Chìa khóa ở đây là biết địa chỉ MAC của mục tiêu.
Dựa trên quá trình quét ở trên, thiết bị có tín hiệu mạnh nhất là thiết bị của Apple có địa chỉ MAC là 56: 73: e6: ea: ce: c5. Chúng ta có thể định hướng quét thiết bị này bằng cách gõ lệnh ble.enum 56: 73: e6: ea: ce: c5 để liệt kê chi tiết về thiết bị.
192.168.0.0/24 > 192.168.0.37 » ble.enum 56:73:e6:ea:ce:c5[02:27:30] [sys.log] [inf] ble.recon connecting to 56:73:e6:ea:ce:c5 ...
192.168.0.0/24 > 192.168.0.37 » [02:27:30] [sys.log] [inf] ble.recon connected, enumerating all the things for 56:73:E6:EA:CE:C5!
192.168.0.0/24 > 192.168.0.37 »
+--------------+-------------------------------------------------------------+------------------+---------------+
| Handles | Service > Characteristics | Properties | Data |
+--------------+-------------------------------------------------------------+------------------+---------------+
| 0001 -> 0005 | Generic Access (1800) | | |
| 0002 | Device Name (2a00) | read | iPhone |
| 0004 | Appearance (2a01) | read | Generic Phone |
| 0006 -> 0009 | Generic Attribute (1801) | | |
| 0007 | Service Changed (2a05) | indicate | |
| 000a -> 000e | Apple Continuity Service (d0611e78bbb44591a5f8487910ae4366) | | |
| 000b | 8667556c9a374c9184ed54ee27d90049 | write, notify, x | |
| 000f -> 0013 | 9fa480e0496745429390d343dc5d04ae | | |
| 0010 | af0badb15b9943cd917aa77bc549e3cc | write, notify, x | |
+--------------+-------------------------------------------------------------+------------------+---------------+
192.168.0.0/24 > 192.168.0.37 » [02:27:30] [sys.log] [inf] ble.recon disconnecting from 56:73:E6:EA:CE:C5 ...
192.168.0.0/24 > 192.168.0.37 » [02:27:30] [sys.log] [inf] ble.recon device disconnected, restoring discovery.
192.168.0.0/24 > 192.168.0.37 » [02:27:30] [ble.device.lost] BLE device 73:13:D4:64:AF:7D (Apple, Inc.) lost.Như bạn có thể thấy, có một vài dịch vụ cho phép chúng tôi ghi dữ liệu!
Hãy thử viết dữ liệu đến một đặc điểm. Sau khi quét khác, chúng tôi phát hiện ra một thiết bị có địa chỉ MAC 7e: dc: 48: 7c: 77: ea và một trường có thể ghi có nhãn “69d1d8f345e149a898219bbdfdaad9d9.” Chúng ta có thể viết giá trị của “ffffffffffffffff” vào thiết bị đó bằng cách gõ lệnh ble.write TheMacAddress TheFieldToWriteTo ValueToWrite , như trong ví dụ dưới đây.
192.168.0.0/24 > 192.168.0.37 » ble.write 7e:dc:48:7c:77:ea 69d1d8f345e149a898219bbdfdaad9d9 ffffffffffffffff[02:38:22] [sys.log] [inf] ble.recon connecting to 7e:dc:48:7c:77:ea ...
192.168.0.0/24 > 192.168.0.37 » [02:38:22] [sys.log] [inf] ble.recon connected, enumerating all the things for 7E:DC:48:7C:77:EA!
192.168.0.0/24 > 192.168.0.37 » [02:38:23] [sys.log] [inf] ble.recon writing 8 bytes to characteristics 69d1d8f345e149a898219bbdfdaad9d9 ...
192.168.0.0/24 > 192.168.0.37 » [02:38:23] [sys.log] [err] ble.recon error while writing: insufficient authentication
192.168.0.0/24 > 192.168.0.37 »
+--------------+----------------------------------------------------------------------+------------------+-----------------------------+
| Handles | Service > Characteristics | Properties | Data |
+--------------+----------------------------------------------------------------------+------------------+-----------------------------+
| 0001 -> 0005 | Generic Access (1800) | | |
| 0002 | Device Name (2a00) | read | iPhone |
| 0004 | Appearance (2a01) | read | Generic Phone |
| 0006 -> 0009 | Generic Attribute (1801) | | |
| 0007 | Service Changed (2a05) | indicate | |
| 000a -> 000e | Apple Continuity Service (d0611e78bbb44591a5f8487910ae4366) | | |
| 000b | 8667556c9a374c9184ed54ee27d90049 | write, notify, x | |
| 000f -> 0013 | 9fa480e0496745429390d343dc5d04ae | | |
| 0010 | af0badb15b9943cd917aa77bc549e3cc | write, notify, x | |
| 0014 -> 0017 | Battery Service (180f) | | |
| 0015 | Battery Level (2a19) | read, notify | insufficient authentication |
| 0018 -> 001d | Current Time Service (1805) | | |
| 0019 | Current Time (2a2b) | read, notify | insufficient authentication |
| 001c | Local Time Information (2a0f) | read | insufficient authentication |
| 001e -> 0022 | Device Information (180a) | | |
| 001f | Manufacturer Name String (2a29) | read | Apple Inc. |
| 0021 | Model Number String (2a24) | read | iPhone9,1 |
| 0023 -> 002c | Apple Notification Center Service (7905f431b5ce4e99a40f4b1e122d00d0) | | |
| 0024 | 69d1d8f345e149a898219bbdfdaad9d9 | write, x | |
| 0027 | 9fbf120d630142d98c5825e699a21dbd | notify | |
| 002a | 22eac6e924d64bb5be44b36ace7c7bfb | notify | |
| 002d -> 0038 | Apple Media Service (89d3502b0f36433a8ef4c502ad55f8dc) | | |
| 002e | 9b3c81d857b14a8ab8df0e56f7ca51c2 | write, notify, x | |
| 0032 | 2f7cabce808d411f9a0cbb92ba96c102 | write, notify, x | |
| 0036 | c6b2f38c23ab46d8a6aba3a870bbd5d7 | read, write, x | insufficient authentication |
+--------------+----------------------------------------------------------------------+------------------+-----------------------------+
192.168.0.0/24 > 192.168.0.37 » [02:38:23] [sys.log] [inf] ble.recon disconnecting from 7E:DC:48:7C:77:EA ...Mặc dù chúng tôi không thể ghi vào thiết bị Bluetooth này, nhiều thiết bị sẽ. Nếu chúng ta biết được một thiết bị đang chạy một dịch vụ có lỗ hổng mà chúng ta có thể khai thác bằng cách viết vào một giá trị, chúng ta có thể sử dụng Bettercap để bắt đầu tìm cách khai thác thêm các thiết bị gần đó. Chúng ta cũng có thể sử dụng các trường này cho các thiết bị vân tay bằng cách sử dụng ngẫu nhiên địa chỉ MAC, vì các giá trị sẽ xác định duy nhất một thiết bị thay đổi các thuộc tính khác như địa chỉ MAC của nó để cố gắng tránh tương quan.
Thiết bị Bluetooth ở mọi nơi
Trong quá trình quét mẫu, chúng tôi đã phát hiện ra rất nhiều thiết bị Bluetooth gần đó, ngay cả trong một quán cà phê tương đối trống vào đêm khuya. Một trong những thiết bị này là thiết bị theo dõi thương hiệu không bao giờ thay đổi địa chỉ MAC, nhưng các thiết bị khác là thiết bị thông minh xoay địa chỉ MAC mà chúng truyền theo thời gian. Chúng ta có thể đánh bại điều này bằng Bettercap bằng cách đọc các giá trị của các đặc tính như thời lượng pin để so sánh chúng và xác định xem một thiết bị Bluetooth mà chúng ta đang thấy có giống với thiết bị chúng ta đã thấy gần đây không.
Với khả năng ghi dữ liệu, chúng ta thậm chí có thể “gắn thẻ” một thiết bị có giá trị để chúng ta có thể xác định duy nhất thiết bị đó sau này. Khả năng khám phá và vạch mặt truyền phát vô tuyến Bluetooth rất hữu ích để theo dõi những người và thiết bị đằng sau chúng. Khi biết loại phần cứng và phiên bản phần mềm mà thiết bị chúng tôi đang phát hiện đang sử dụng, chúng tôi có cơ hội tốt nhất có thể để tấn công thành công.