GSM Hacking Part① :使用SDR扫描嗅探GSM网络
GSM Hacking Part① :使用SDR扫描嗅探GSM网络
0×00 写在开头
近期,发现Crazy Danish Hacker在YouTuBe发布了一个挺不错的教程视频:使用SDR嗅探监听GSM网络的通信流量(GSM Sniffing Teaser – Software Defined Radio Series)。该教程从电视棒的安装到扫描、嗅探工具的使用、GSM流量包的捕获解密都有详细说明演示:
作为搬运工,在这里将分两三部分参考&总结一下该教程的主要内容,输出一篇中文教程,希望能够给对这方面感兴趣的童鞋带来一定帮助。
0×01 环境搭建
OS:GNU Radio LiveCD
HardWare:电视棒(rtl-sdr)、HackRF、Bladerf 均可
1.安装编译依赖包
1
|
sudo apt- get install git cmake libboost-all-dev libcppunit-dev swig doxygen liblog4cpp5-dev python-scipy
|
Kali 2.0
1
|
apt- get install gnuradio gnuradio-dev rtl-sdr librtlsdr-dev osmo-sdr libosmosdr-dev libosmocore libosmocore-dev cmake libboost-all-dev libcppunit-dev swig doxygen liblog4cpp5-dev python-scipy
|
2.编译gr-gsm
1
2
3
4
5
6
7
8
|
git clone https: //github.com/ptrkrysik/gr-gsm.git
cd gr-gsm
mkdir build
cd build
cmake ..
make
sudo make install
sudo ldconfig
|
3.编译kalibrate
kalibrate-hackrf (kalibrate For HackRF)
1
2
3
4
5
6
|
git clone https: //github.com/scateu/kalibrate-hackrf.git
cd kalibrate-hackrf
./bootstrap
./configure
make
sudo make install
|
kalibrate-rtl(kalibrate For rtl-sdr)
1
2
3
4
5
6
|
git clone https: //github.com/steve-m/kalibrate-rtl.git
cd kalibrate-rtl
./bootstrap
./configure
make
sudo make install
|
0×01 扫描基站
1.1 kal
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
kal
error: must enter channel or frequency
kalibrate v0.4.1-hackrf, Copyright (c) 2010, Joshua Lackey
modified for use with hackrf devices, Copyright (c) 2014, scateu@gmail.com
Usage:
GSM Base Station Scan:
kal <-s band indicator> [options]
Clock Offset Calculation:
kal <-f frequency | -c channel> [options]
Where options are:
-s band to scan (GSM850, GSM-R, GSM900, EGSM, DCS, PCS) //指定扫描的网络类型&频段
-f frequency of nearby GSM base station
-c channel of nearby GSM base station
-b band indicator (GSM850, GSM-R, GSM900, EGSM, DCS, PCS)
-a rf amplifier enable
-g vga (bb) gain in dB, 0-40dB, 8dB step
-l lna ( if ) gain in dB, 0-62dB, 2dB step
-d rtl-sdr device index
-e initial frequency error in ppm
-E manual frequency offset in hz
-v verbose
-D enable debug messages
-h help
|
1
|
kal -s GSM900 -g 40 -l 40 //扫描GSM900频段
|
1.2 gr-gsm (HackRF、BladeRF)
在编译完成的gr-gsm项目中,App目录里有用于扫描、解码gsm流量的脚本:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
grgsm_scanner -h
linux; GNU C++ version 4.8.4; Boost_105400; UHD_003.010.git-197-g053111dc
Usage: grgsm_scanner: [options]
Options:
-h, --help show this help message and exit
-b BAND, --band=BAND Specify the GSM band for the frequency. Available
bands are: P-GSM, DCS1800, PCS1900, E-GSM, R-GSM,
GSM450, GSM480, GSM850
-s SAMP_RATE, --samp-rate=SAMP_RATE
Set sample rate [ default =2000000.0] - allowed values
even_number*0.2e6
-p PPM, --ppm=PPM Set frequency correction in ppm [ default =0]
-g GAIN, --gain=GAIN Set gain [ default =24.0]
--args=ARGS Set device arguments [ default =]
--speed=SPEED Scan speed [ default =4]. Value range 0-5.
-v, --verbose If set , verbose information output is printed: ccch
configuration, cell ARFCN 's, neighbour ARFCN' s
|
1.3 Bladerf 配合 SDR-sharp
通过上述方式,我们获取到了基站的一些参数信息,如:中心频率、信道、ARFCN值、LAC、MCC、MNC值等。这为我们接下来的工作提供了便利。那么windows用户有其它方式来确定基站的中心频率么?
Windows用户可通过SDR-sharp的瀑布图来确认基站的工作频率,由于HackRF性能问题,查看GSM频率时瀑布图效果不明显,所以我这里用BladeRF来实现这需求。由于SDR-sharp默认不支持BladeRF硬件,首先我们需为其安装硬件驱动,详情可参考:https://github.com/jmichelp/sdrsharp-bladerf
复制Release目录中的SDRSharp.BladeRF.dll到SDR主目录;
复制GitHub项目中的LibBladeRF目录下所有dll文件到SDR主目录;
在FrontEnds.xml文件增加
1
|
<add key= "BladeRF" value= "SDRSharp.BladeRF.BladeRFIO,SDRSharp.BladeRF" />
|
在SDR-sharp中加载BladeRF的FPGA固件:
最终效果:
0×02 Sniffer 嗅探
通过扫描我们获取到了基站的中心频率、信道、ARFCN值、LAC、MCC、MNC值等参数信息:
上图表明在935-950MHz频率区间发现GSM基站信号。通过gqrx瀑布图来看看:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
ubuntu@ubuntu:~/gr-gsm/apps$ ls
CMakeLists.txt grgsm_livemon grgsm_livemon.py helpers
grgsm_decode grgsm_livemon.grc grgsm_scanner README
ubuntu@ubuntu:~/gr-gsm/apps$ grgsm_livemon -h
linux; GNU C++ version 4.8.4; Boost_105400; UHD_003.010.git-197-g053111dc
Usage: grgsm_livemon: [options]
Options:
-h, --help show this help message and exit
--args=ARGS Set Device Arguments [ default =]
-f FC, --fc=FC Set fc [ default =939.4M]
-g GAIN, --gain=GAIN Set gain [ default =30]
-p PPM, --ppm=PPM Set ppm [ default =0]
-s SAMP_RATE, --samp-rate=SAMP_RATE
Set samp_rate [ default =2M]
-o SHIFTOFF, --shiftoff=SHIFTOFF
Set shiftoff [ default =400k]
--osr=OSR Set OSR [ default =4]
|
我们来嗅探一下937.4MHz的基站:
1
|
grgsm_livemon -f 937.4
|
右侧终端显示成功捕获到了基站通信数据包。
0×03 Decode解密
3.1 安装WireShark
1
|
apt- get install wireshark
|
3.2 嗅探&解密
1
2
3
4
5
|
ubuntu@ubuntu:~/gr-gsm/apps$ ls
CMakeLists.txt grgsm_livemon grgsm_livemon.py helpers
grgsm_decode grgsm_livemon.grc grgsm_scanner README
ubuntu@ubuntu:~/gr-gsm/apps$ gnuradio-companion grgsm_livemon.grc
|
执行GRC流图:
1
|
sudo wireshark -k -Y 'gsmtap && !icmp' -i lo
|
捕获到的数据包如下:
解密方式可先参考GitHub:
Usage: Decoding How To · ptrkrysik/gr-gsm Wiki
Decoding-hopping-channels
在后续内容中,我们将使用SDR来捕获手机在通话过程中的GSM数据包以及利用三星手机锁屏绕过漏洞直接获取TMSI、KC来解密捕获到的数据包,从中提取出通话过程中的语音内容。
maybe,我们还可以根据gr-lte开源项目来讨论分析4G LTE基站的安全问题。(the gr-lte project is an Open Source Software Package which aims to provide a GNU Radio LTE Receiver to receive, synchronize and decode LTE signals.)
0×04 refer
https://github.com/ptrkrysik/gr-gsm/wiki/Usage
https://z4ziggy.wordpress.com/2015/05/17/sniffing-gsm-traffic-with-hackrf/
GSM Sniffing: Kalibrate-RTL Usage – Software Defined Radio Series #5
GSM Sniffing: Installing GR-GSM – Software Defined Radio Series #7
GSM Sniffing: Using GR-GSM – Software Defined Radio Series #8
原文地址:http://www.freebuf.com/articles/wireless/110773.html
GSM Hacking Part① :使用SDR扫描嗅探GSM网络相关推荐
- 使用SDR扫描嗅探GSM网络(劫持手机信号)
© kali.中国 小白 / 2022-1-15 22:05 / 0 人收藏 保留作者信息 禁止商业使用(站长自定义文字)环境搭建 OS:[color=var(--focus-color) ...
- GSM Hacking:如何对GSM/GPRS网络测试进行测试
GSM Hacking:如何对GSM/GPRS网络测试进行测试 写在前面 这里需要介绍的是GSM / GPRS网络测试的一些方法,随着现在硬件设备连网现象的普遍存在,例如智能电表.自动变速箱控制单元( ...
- GnuRadio Hacking②:使用SDR嗅探北欧芯片无线键盘鼠标数据包
0×00 前言 上半年的时候安全公司Bastille Networks(巴士底狱)安全研究员发现大多数无线鼠标和接收器之间的通信信号是不加密的,黑客可对一两百米范围内存在漏洞的无线键鼠进行嗅探甚至劫持 ...
- android怎么阿看手机是移动联通还是电信的网络,GSM是联通、移动还是电信的网络?...
GSM是联通.移动还是电信的网络?以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! GSM是联通.移动还是电信的网络? 手 ...
- gsm模块网站服务器,GPRS模块与GSM模块的七大区别
众所周知,GPRS模块和GSM模块都是数据无线透明传输模块,经常有人将两者混为一谈.但这两者不是一回事.GPRS是通用分组无线业务,GSM是全球移动通信系统.可以说,GPRS是在GSM系统基础上的延续 ...
- nmap扫描失败_网络协议arp学习和网络扫描
0x00 ARP概述 中文名: 地址解析协议(英语:Address Resolution Protocol,缩写:ARP)是通过解析网络层地址(IPv4,IPv6)来寻找数据链路层地址的一个在网络中 ...
- Nmap扫描教程之网络基础服务DHCP服务类
Nmap扫描教程之网络基础服务DHCP服务类 Nmap网络基础服务 网络基础服务是网络正常工作的基石,常见的网络基础服务包括DHCP服务和DNS服务.其中,DHCP服务用来为计算机动态分配IP地址:D ...
- ESP32-网络开发实例-扫描可用WiFi网络及WiFi信号强度检测
扫描可用WiFi网络及WiFi信号强度检测 NodeMCU-32S 最强的ESP32 开发板非盗版或副厂的CH340 WiFi 蓝牙ESP-32 可用Arduino IDE ESP32-S 是一款通用 ...
- BLE Hacking:使用Ubertooth one扫描嗅探低功耗蓝牙
0×00 前言 低功耗蓝牙(Low Energy; LE),又视为Bluetooth Smart或蓝牙核心规格4.0版本.其特点具备节能.便于采用,是蓝牙技术专为物联网(Internet of Thi ...
最新文章
- Java面试题详解三:比较器
- 科沃斯擦窗机器人擦不干净怎么办_家用自动擦玻璃机器人哪种好呢?玻妞和科沃斯擦窗机器人能干净吗...
- python文件数据总和计算_python 计算文件夹里所有内容的大小总和
- matlab神经网络工具箱创建神经网络,matlab神经网络工具箱创建神经网络
- linux下tomcat部署
- 前端工程师的一大神器——puppeteer
- 李洋疯狂C语言之求素数的方法
- CentOS 7 Linux实时内核下的epoll性能分析
- eclipse开发java项目_用eclipse 开发java 项目
- [总结] 本人代表性博客总结
- opencv学习笔记3:边缘检测(Canny, Sobel, Laplacian)
- 【WPS表格】快捷键合集(更新中)
- C# Abp框架入门系列文章(一)
- Chrome利器之FireShot:网页长截图工具
- mysql 本周、上周、本月、上月SQL 语句
- 人工智能/数据科学比赛汇总 2019.9
- socket中的TCP编程(调用免费聊天的机器人实现自动回复)
- 嘘...偷偷教你破解“朋友圈三天可见”
- linux之打包压缩(tar,gz,bz2,xz,zip)
- 在CMD中输入adb命令,提示“‘adb‘ 不是内部或外部命令,也不是可运行程序或批处理文件”的解决方法