Hack无线门铃 - 简单分析和重放攻击

mramydnei | 2014-12-23 20:04

自上次借朋友的汽车测试了下重放攻击【视频】黑客远程入侵汽车解锁车门,汽车电子钥匙信号重放,重放钥匙扣信号)后,心里一直都留有遗憾。因为上次玩完重放攻击后回去给平板刷系统不小心把电子钥匙的iq文件给删了,所以没能对信号进行分析。后来为了弥补遗憾就买了个无线门铃(i-Call,LCW200,Wireless Chime)。

无线门铃,i-Call,LCW200,Wireless Chime

因为我比较懒,所以在买的时候就选了个能确定Frequency的无线门铃,所以在产品介绍当中我们就可以看到它工作在315MHz。

工作频率,它工作在315MHz

当然了,如果你不是一个看到什么都信的人你可以操起你的gqrx或其它类似的软件来对频率进行再度的确认。

软件来对频率进行再度的确认

在确定完工作频率后,我们还需要确定它的Modulation。有人看图就能看出来,但是可惜我不能。所以我就把设备给拆了。拆完之后发现接收器使用的是PT4303。

拆完之后发现接收器使用的是PT4303

从网上查了一下pt4303的datasheet,很快就找到它的Modulation是OOK/ASK。

DESCRIPTION

The PT4303 is a low power super-heterodyne OOK/ASK receiver for the 315/434 MHz frequency bands. It offers a high level of integrATIon and requires only few external components. The PT4303 coNSists of a low-noise amplifier (LNA), a down-conversion mixer,an on-chip phase-locked loop (PLL) with integrated voltage-controlled oscillator (VCO) and loop filter, an OOK/ASK demodulator, a data filter, a data slicing comparator and an on-chip regulator.

收集完一系列琐碎的信息后,让我们先找个工具把信号给录下来。这里我选择用rtl_fm。具体命令如下:

rtl_fm -M am -f 314500000 -s 2000000 - | sox -t raw -r 2000000 -e signed-integer -b 16 -c 1 -V1 – doorbell.wav

在这里为了方便观察和比较我将门铃的信号录制了三次。完成了信号的录制后我们再通过音频处理软件audacity来对其进行简单粗暴的分析与观察。如果你是ubuntu用户可以直接从官方的源安装。(sudo apt-get install audacity)。 首次将我们录制好的wav文件导入到audacity后,我们可以看到这样的画面。

将我们录制好的wav文件导入到audacity

不难看出图中的三坨就是我们录制的三个信号。现在我们选定其中的一条来进行放大。

我们录制的三个信号

看上去是不停地在重复些什么,但是我们还不能确定是否是这样。我们继续放大。

继续放大

现在我们可以看到实际上这些信号是在不停地重复同样的信号。也就是下面这段。

这些信号是在不停地重复同样的信号

因为之前我们有提到Modulation是OOK(On-Off-Keying),所以实际上这是一段很容易解读的信号。其中的第一条蓝色条状我们可以看作是1,随后相对较空白的部分我们可以看作是0(意味着这一段时间没有发送任何信号).空白处的0的个数取决于其宽度。我们只要简单的计算一下空白处可以容下多少个蓝色条状,就可以计算出此处有多少零了。

经过简单计算和统计后,我们最终可以将这段图形转换成下面的二进制数:

1001110111011101110111010011101001110100111010011101110111010010011101001110111011101001

我们之前有提到这些信号是重复的,这就意味着信号之间还有间隔,所以我们还需要计算一下信号之间究竟停留了多久才开始重复。经过计算后我们发现每个信号之间会出现大概12个0:

000000000000

所以最终我们的vector就是:

1001110111011101110111010011101001110100111010011101110111010010011101001110111011101001000000000000

最后操起GRC,配置一下几个模块,进行多次调试之后,我们成功地借助上面的vector实现了信号的重放。

我们成功地借助上面的vector实现了信号的重放

最后附上演示视频。Happy hacking!

视频地址:视频: 无线门铃简单分析与信号重放

[原文地址]

各种吐槽:

1#

末笔丶 | 2014-12-23 20:09

赞..

2#

hacker@sina.cn (谁他妈手贱改我签名) | 2014-12-23 20:13

二次赞

3#

V-King | 2014-12-23 20:21

三次赞

4#

Neeke | 2014-12-23 20:26

四次赞

5#

乌云 ()ޝ                      () | 2014-12-23 20:30

5次赞

6#

乌云 ()ޝ                      () | 2014-12-23 20:31

问下楼主,学习这东西需要购买额外的硬件设备么?比如M1卡要买NFC读卡器,这需要其他的设备么?

7#

Matt | 2014-12-23 20:32

五次赞

8#

付弘雪 | 2014-12-23 20:40

7次赞

9#

mramydnei | 2014-12-23 20:41

@乌云 我用的HackRF One。也有其它的一些选择:

RFcat,HackRF Blue,BladeRF,USRP

这些设备都可以发送/接收信号。感觉可以关注一下HackRF Blue哦。

10#

乌云 ()ޝ                      () | 2014-12-23 20:44

@mramydnei 都贵成狗了。。。

11#

骚年有话说 | 2014-12-23 21:12

楼主是日本人?

12#

飘雪柔情 | 2014-12-23 21:21

8次赞

13#

0x_Jin (世上人多心不齐) | 2014-12-23 21:22

@骚年有话说 M哥在日本留学

14#

Knight (查水表。缴wb不杀) | 2014-12-23 21:26

高大上。

15#

骚年有话说 | 2014-12-23 21:28

@0x_Jin 哈哈 故意的

16#

/fd (Http://prompt.ml) | 2014-12-23 21:43

M哥fan

17#

Mody | 2014-12-23 23:20

高上大

18#

wefgod (求大牛指点) | 2014-12-24 09:01

我去,很给力,我之前就想过类似的问题,还真有人去实现了

19#

围剿 | 2014-12-24 09:27

对于硬件牛,果断的膜拜一下。下次发帖请带上日本妹子。

20#

小手冰凉 | 2014-12-24 10:03

这么贵的设备,你竟然就用来让门铃响,好歹控制个小孩的遥控汽车看看啊

21#

吹皱一池春水 | 2014-12-24 10:57

卧槽。硬件牛

22#

Fakehac | 2014-12-24 11:09

二十二次赞。。。

23#

Croxy | 2014-12-24 11:16

给M牛跪了

24#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-12-24 11:18

三十二个赞。

25#

Paddy | 2014-12-24 12:15

hackSDR

26#

0749orz (你这个B装的真有意思,教我装B技巧与演练吧) | 2014-12-24 12:20

这么贵的设备,你竟然就用来让门铃响,好歹控制个小孩的遥控汽车看看啊

27#

0749orz (你这个B装的真有意思,教我装B技巧与演练吧) | 2014-12-24 12:45

@mramydnei 这个东西可不可以,针对学校那种无线话筒进行重放?或者完全改掉。

28#

Matt | 2014-12-24 13:15

@乌云 5块钱内就可以搞定

相关内容:

Hack无线门铃 - 简单分析和重放攻击,信号重放,无线物理硬件黑客

嵌入式设备中的盲注 (翻译)

【视频】黑客远程入侵汽车解锁车门,汽车电子钥匙信号重放,重放钥匙扣信号

iSniff GPS:WIFI被动嗅探工具,嗅探附近无线设备广播泄漏信息定位

全自动无线入侵热点,黑客全自动WIFI钓鱼,大规模批量无线热点钓鱼

汽车设备安全问题,ETC通道缴费信号伪造,如何免费跑高速

WiFi流量劫持:网站JS脚本缓存投毒!长期控制!浏览任意页面即可中毒!

某些WIFI分享软件存在缺陷可能导致电脑内文件被他人读取

如何入侵控制交通红绿灯?美研究人员发现劫持交通灯其实非常简单

走进科学:银行ATM机真的安全吗?

某款网络摄像机直接获取帐号密码,视频监控设备配置信息泄露漏洞

讨论如何入侵演唱会无线话筒,hack掉演唱会无线麦的可能性

讨论电影中出现的各种骇客、黑客入侵手法,《幽灵》、《神探夏洛克》

如果躲开支付宝风险监控,何才能做到不违反支付宝风控条件呢?

户外物理渗透:终端机,客户端的web测试思路

使用WiFi真的有那么危险吗?安全科普:教你增强自己的无线网络安全

WiFi里的猫腻:变色龙病毒,无线破解、蹭网,蜜罐路由器,黑吃黑

黑客讲故事:攻下隔壁女生路由器后,我都做了些什么,无线路由器被蹭网后,入侵女神

女黑客Oona,分析直升机现场拍摄警车追捕画面中的信号声,绘出飞机飞行轨迹

WIFI蜜灌之路由上的会话劫持

指纹门控的安全,户外物理设备入侵,如何入侵绕过指纹识别安全锁、门控系统

揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息

新型“变色龙”:可以通过空气传播的Wifi网络病毒

玩转无线 -- GNURADIO 简单运用

进入了路由器怎么让她进入我的钓鱼网页?

已更新Iwork10测评!求推荐一款便携式户外物理移动渗透终端设备!!!

求推荐一款便携式户外物理移动渗透终端设备!!!

视频监控的一种通杀问题?大部分视频监控系统客户端无需密码?

一基友再遇奇葩无线网络环境,顺便求二级/三级/四级ISP的盈利方式?

Hikvision IP Cameras Multiple Vulnerabilities,海康威视IP摄像机的多个漏洞

Hikvision IP Cameras Multiple Vulnerabilities, 海康威视IP摄像机的多个漏洞

穷举海康威视监控密码的小程序,入侵海康威视IP摄像机

已获得网络出口引擎管理员权限,试问监控全网HTTP密码传输可能性?

浅谈社工,欢迎讨论、补充,各种猥琐社工、人肉技巧,物理社工、人肉

【TED】Markham Nolan:如何辨别网上信息真伪,神级人肉,物理社工

教你怎样关闭Windows的摄像头指示灯(含视频)

走近科学:破解苹果MacBook摄像头进行秘密监控

利用声学密码分析攻击破译4096位RSA加密算法

FreeBuf2014贺岁视频: 极客教你如何劫持无人机

国外成功使用电视棒接收玉兔登陆信号

物理攻击?那些年我们忽略掉的一些社会工程学手段

ATM 机里装着什么?ATM 机的结构是什么?ATM 的构造原理?

利用ZoomEye探索互联网hikvision摄像头

关于伪基站的一些问题:信号覆盖范围?设备成本?是否违法?教程资料?

社工思路讨论:如何根据蛛丝马迹来找到具体的人或者物?

伪基站是怎么定位的呢?定位并抓捕伪基站、圈地短信、垃圾短信犯罪团伙!

讨论:通过无线路由渗透入侵内网电脑,如何从无线路由器到个人PC机?

为什么所有的无线频率都是2.4GHz?

谈谈时事:电话“诈”弹导致多地机场飞机被迫返航,论如何打电话不被追踪

如何发现系统中的异常,交易系统异常行为监控机制讨论

俺在国外当会棍 -- WIFI 篇

逆向追踪:查找360wifi(知道ssid)的使用者

Windows下的无线热点蜜罐

未来利用大脑频率杀死人类猜想(讨论)

小米云服务同步“wlan设置”的安全性,小米已收集了32万wifi明文密码

电影/电视剧/纪实片 信用卡信息泄漏猜想

移动自助终端未授权访问-通杀丽江

昨天从忘记带钥匙里学到的,欢乐讨论:各种开锁、物理黑客

“伪基站”任意冒用手机号短信诈骗

物理设备安全大牛 Barnaby Jack 挂了...

技术讨论: 楼宇广告终端 怎么破? 入侵户外广告大屏幕!

(视频)USRP 来Sniffing 无线键盘,27Mhz keyboard sniffing

(视频)USRP 来 Sniffing 无线键盘,27Mhz keyboard sniffing

(视频)USRP 来 Sniffing 无线键盘,27Mhz keyboard sniffing

全面披露华硕十款无线路由器 - AiCloud启用单位的多个漏洞

我们是如何通过一张照片定位到疯狗位置的

钟馗之眼(ZoomEye):网络空间搜索引擎

黑市交易 – 女性肉鸡价格比男性贵100倍

麻省理工发明可以穿墙透视的WiFi雷达

如何用ZoomEye(钟馗之眼)批量获得站点权限

使用电视棒接收飞机信号简单的实现方法

使用电视棒接收飞机信号 简单的实现方法

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

讨论如何通过航空飞机的互联网入侵、劫持飞机上的乘客,入侵劫持卫星

R820T电视棒+软件无线电跟踪飞机飞行轨迹(SDR&ADS-B)

rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹ADS-B/TCAS/SSR

rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR

电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

揭秘美国网军:纯铜包裹建筑防信号外泄

黑客改造脑波耳机,让您可以通过思想控制建筑物

[技术实现]美国国安局如何实现海量用户数据的监控?

视频: Dtac:将宠物变成了WiFi热点,泰国运营商将宠物变成WiFi热点

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

视频: 可以用手势控制的Wi-Fi:WiSee

WIFI信号可用于识别身体姿势

公共无线安全——FakeAP之WiFi钓鱼

GNU Radio USRP OpenBTS 小区短信 区域短信

一种牛逼的短信群发技术 GNU Radio 小区短信 区域短信 免费发 无法拦截

监听空中的无线电,监听polices对讲机

周末湖边 Sniffing ADS-B,Hack 私人小型机场

视频: ATM 的那点事! ATM 漏洞, Hack for fun! 利用磁卡导致ATM关机

嘿嘿,发现个ATM 漏洞, 利用磁卡导致ATM关机

如何用Android智能手机劫持一架飞机(PPT下载)

最彪悍的“黑客”攻破千家银行从未失手

物理黑客户外硬件入侵之:某咖啡厅的广告展示终端……

陌陌猥琐流定位妹纸精准位置 有图有真相 + 安卓工具

[讨论]如何入侵一个户外的电子显示屏

Inception能入侵全盘加密的计算机,修改物理机器内存/任意密码进入

关于迅雷突破物理带宽速度的讨论

android软件外加监控,隐私安全?!爆个一键root内幕!

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击

也谈新旧SIM卡耗电之争——从手机处理STK异常说起

dSploit—Android网络渗透套件测试小记(含视频)

实时抓取移动设备上的通信包(ADVsock2pipe+Wireshark+nc+tcpdump)

FBI备忘录显示黑客成功入侵了商业HVAC工控系统

android 手机系统、平台渗透测试神器 dSploit

看新闻学知识之手机千里追回

西安丢iPhone定位在北京民警辗转2400公里追回

三星智能电视被曝安全漏洞 黑客能控制摄像头

电话诈骗手段升级 听按键音破译银行密码

一种可能的针对云端的监控

公共WiFi免费蛋糕能否长久 成本谁来埋单

如果大量短信攻击会不会造成拒绝服务,导致手机接不进电话?

手机连接不明WiFi网购 网友账户内1200元被盗

武汉公安开发尖端人像识别系统 可瞬间辨认嫌疑人 全国摄像头寻人

终端机常见绕过沙盘方法、突破终端机屏幕锁定限制方法大全

美国极超音速飞机90分钟飞越半球,时速可达4000千米,飞行在太空边缘

单反刷成安卓/ios,手机 psp kindle,连文曲星 计算器 空调遥控器也不放过

试验无线网络监听 网络账户密码也可被获取

美国电视节目用波音飞机做坠机实验,让飞机多一些撞击试验

视频:FPSRussia的俄式军火秀 遥控武装四桨直升机[中英双语字幕]

免费 WiFi 是“披着羊皮的狼”,女子蹭网引来20多名警察

网曝银行卡密码“漏洞”

浦发ATM机两地曝系统故障 用户调侃自助盗号机

王鹏你妹“占领”北京地铁五号线屏幕,关于“王鹏你妹”的真相

北京地铁5号线所有电视屏显示“王鹏你妹”官方回应

谷歌获智能手表专利:原理似谷歌眼镜(图)

Flightradar24 网站“直播”天上“堵飞机” 看全球实时航班

尺子和锤子的力平衡 - 创意的平衡尺

街机、捕鱼机、上分器、解码器、打码器、写码器、无线、遥控

美国试点超级无线网络 覆盖范围达数公里

电话机真的可以用嘴巴模拟拨号音来拨号?

用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话

用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话

如何从按键音中听出360总裁周鸿祎的手机号码 + 详细剖析

iPhone 短信欺骗漏洞攻击器、伪造短信号码工具、伪装发件人攻击器

Never trust SMS: iOS text spoofing,永远不要相信短信:iOS的文字欺骗

iPhone 短信欺骗漏洞披露,伪造短信号码、自定义短信手机号

视频:Sight 未来视网膜成像技术 科幻微电影

德安全专家破解GSM加密算法 GSM网络破解 监听全球40亿部手机

支付宝错发中奖短信 送236台iPad2

视频:纸飞机驱动模组,电子纸飞机

视频:如何动手改造iPhone添加无线充电功能

黑客6人组有人分析有人谈判 监控ATM机视频锁定嫌疑人

瑞典研发新技术可让WiFi每秒传输2.5TB数据

拉斯维加斯国际黑客大会(DefCon 2012黑客会议)本周开战

男子侵入上海移动平台群发广告短信牟利获刑

802.11b 无线网络固件级攻击、802.11b Firmware-Level Attacks

谷歌放出首个由Google眼镜拍摄的视频 720P格式

视频:1秒钟可复制银行卡?这不是骗局[财经夜行线]

美国秘密研制新概念网路武器 可攻击离线电脑 无线电信号渗透

手机全息投影、初音、Miku、立体投影,制作方法已放出,图文+视频

从技术角度深入剖析:改号软件,电话号码任意显示,伪造来电显示

华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕

视频:国外黑客无线入侵、遥控电子路桥系统

视频:国外黑客无线入侵保时捷911,并且远程操控、遥控

视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播

视频:国外黑客入侵高速公路交通电子屏

大屏系统被黑 泰国国会现场直播不雅照

视频:漂浮在空中的水珠、静止的水滴,适合做成展品的视错觉,超炫!!

美军投资新型隐形眼镜 可将信息投射到眼球上

利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备

电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?

Google开发扩展现实眼镜 基于Android系统运行

黑客攻击漏洞 让 ATM 机自动吐钱

伪造免费 WiFi 盗你账号密码

瑞星:ATM出现漏洞 银行:哪有这回事?

瑞星提醒:农行、建行ATM出现漏洞 可被黑客利用攻击内网

末世入侵行动 (Fire Sale!) 末日入侵行动

视频:德国牛人!手工打造电力驱动的载人多浆式直升飞机!

视频:看牛人是怎么玩遥控飞机的 - 变矩螺旋桨倒飞

视频:鬼佬的室内四轴定位系统,震惊,飞机模型能玩到如此地步!

浙大实验室现最萌饮水机 揭开“饮水机娘”的神秘面纱

视频:360度全景球形可投掷照相机 360度全景球形相机

黑客入侵南非银行系统 盗走670万美金 黑客入侵、盗取

ATM Skimmers - ATM Hacker - 自动提款机黑客

GSM蜂窝基站定位基本原理浅析

用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位

不要偷黑客的东西 - Why you don't steal from a hacker

纪念集成电路之父、英特尔创始人罗伯特·诺伊斯84周年诞辰

【视频】发射到121000英尺(36880.8米)摄影机拍摄地球

物理攻击、抓频攻击 - 利用雷达来进行扫描网络弱点

金山截获国内首个QQ群蠕虫病毒

1970年左右发现最早黑客技术——哨子

美国号称世界最快飞机试飞时失去联系

北京东城警方强装WIFI监控软件遭质疑

【视频】NRF24L01无线射频模块实现无线视频通讯实例

【视频】NRF24L01无线射频模块 实现无线视频通讯实例

美“赤脚大盗”科尔顿面临6年监禁 曾偷5架飞机

美国“末日飞机”曝光 面临大灾难可保护首脑 可抗核武器袭击、核辐射

CMCC【中国移动】无线热点破解思路

破解无线wifi密码后不能上网的问题解析

苹果iPhone和谷歌Android手机被曝"定位"用户

能直接在眼球上投影图像的隐形眼镜,智子?

无银行卡,密码10万元1分钟转走,超级黑客?

扫描指定IP网段存在的网络摄像头、监控设备

【计算机常识】双机无线wifi互联教程

【视频】永远不会掉下来的纸飞机 - 折纸滑翔机

【技巧】用无线路由实现无线桥接

【工具】无线破解/渗透工具 Beini-1.2.1

【工具】AIO_Wifi_Hack_2010

渗透某餐厅无线点餐服务器

视频:黑客实战入侵,黑客入侵大楼灯光控制系统,黑客们的游戏,户外物理入侵