首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 智能设备
    3. 发新帖
[原创]How to fxxk 华强北手表
发表于: 2024-11-28 16:56 4396

[原创]How to fxxk 华强北手表

p1yang 活跃值
1
2024-11-28 16:56
4396

某个周末,找发小去玩,一眼看到他手腕上的苹果表,看起来比我的牛逼,遂抢过来玩玩。

图片描述

不得不说,还挺流畅,表盘也比我的好看(苹果你该死啊!!!)。

突然想起来,手里还有传奇的nRF52832 Dongle。

link start。

关于低功耗蓝牙嗅探和渗透,参考这篇文章:https://p1yang.github.io/article/94a01627.html#%E5%97%85%E6%8E%A2

感谢yichen115师傅的启发:https://bbs.kanxue.com/thread-283915.htm

mac地址:4d:23:a0:c1:00:ec
图片描述

通过广播包,可以看到设备名称叫H14 Ultar+。

app叫lewear,长得还挺像样子。

图片描述

通过app绑定和使用三方调试助手对比,发现并没有做加密或认证绑定操作,所以可以直接绕过绑定分析和加密分析。(世界安全能力降低1w倍之全世界没有加密)

不过华强北嘛,哪有安全,能用就行。

图片描述

图片描述

这里先尝试微信消息显示。

图片描述

图片描述

包是这样的,数据为72030101703179616e673a54657374a1cf71a9,大概可以看出来07030101为消息标识,70到a1为消息体,最后一段还不确定,但是不影响重放。

这里没截到,是对UUID为6е400002b5a3f393e0a9e50e24dcca9e的特征(Characteristics)进行的数据交换。

并且发现几乎所有的数据交换都是通过该特征进行的,所以大胆推测下07的代表的功能就是消息推送。

后续再分析。

图片描述

后边测试重放是可以的,甚至可以通过重放完成拒绝服务攻击。

具体攻击:

https://www.bilibili.com/video/BV11nzbY8ESx/

在通过查找uuid关键字,能发现CommandHanle,即所有写入都调用这个文件下的方法

所以功能基本都调用UUID_READ 和UUID_WRITE,通过不同的标识区分不同的功能。

图片描述

图片描述

通过代码调用可知,CommandHandle为蓝牙交互的基本方法,所都的调用类型都在这里。

其参数baseReqCmd.getData()就是整个功能编码成蓝牙交互数据的关键。

图片描述

这里通过查找手表功能来理解下。

数据包:

图片描述

findWatch

图片描述

图片描述

所有发包功能继承实现了baseReqCmd。

所以理清baseReqCmd的逻辑,然后找到功能标识参数,即可伪造发送功能。

所以大致思路就是传入key+内容+CRC校验码共16位。

通过该思路,可以反推一个数据包中所代表的功能。

这里我用python推了一个编码脚本。

这里重点关注了消息推送服务,尝试能否解析伪造。

通过对多次发消息的对比和代码逆向。

图片描述

大致思路就是,将一段长消息分成每段11个字节的短消息。

整个数据包为:key:75, app: 01-xx, 消息段数, 消息段, 消息, 校验码。

根据这个思路写的脚本:

图片描述

图片描述

这里应该不能算结束,我本来是想怎么想办法刷机getadb,提取手表app,拿来看看能不能rce玩的,但是没有wifi功能,只能算个蓝牙设备。无奈狗日的不让我拆,等我放假回老家给byd揍一顿再拆。

6e40fff0-b5a3-f393-e0a9-e50e24dcca9e UUID_SERVICE
6e400003-b5a3-f393-e0a9-e50e24dcca9e UUID_READ
6e400002-b5a3-f393-e0a9-e50e24dcca9e UUID_WRITE
00002902-0000-1000-8000-00805f9b34fb GATT_NOTIFY_CONFIG
0000180A-0000-1000-8000-00805F9B34FB SERVICE_DEVICE_INFO 服务设备信息
00002A26-0000-1000-8000-00805F9B34FB CHAR_FIRMWARE_REVISION 固件版本
00002A27-0000-1000-8000-00805F9B34FB CHAR_HW_REVISION 硬件版本
00002A28-0000-1000-8000-00805F9B34FB CHAR_SOFTWARE_REVISION 软件版本
de5bf728-d711-4e47-af26-65e3012a5dc7 SERIAL_PORT_SERVICE 串口服务
de5bf729-d711-4e47-af26-65e3012a5dc7 SERIAL_PORT_CHARACTER_NOTIFY 串口字符通知
de5bf72a-d711-4e47-af26-65e3012a5dc7 SERIAL_PORT_CHARACTER_WRITE 串口字符写入
00003802-0000-1000-8000-00805f9b34fb PAY_MAIN_SERVICE_UUID 支付主服务UUID
00004a02-0000-1000-8000-00805f9b34fb PAY_BASIC_WRITE_NOTIFY_UUID 支付基本写入通知UUID
6e40fff0-b5a3-f393-e0a9-e50e24dcca9e UUID_SERVICE
6e400003-b5a3-f393-e0a9-e50e24dcca9e UUID_READ
6e400002-b5a3-f393-e0a9-e50e24dcca9e UUID_WRITE
00002902-0000-1000-8000-00805f9b34fb GATT_NOTIFY_CONFIG
0000180A-0000-1000-8000-00805F9B34FB SERVICE_DEVICE_INFO 服务设备信息
00002A26-0000-1000-8000-00805F9B34FB CHAR_FIRMWARE_REVISION 固件版本
00002A27-0000-1000-8000-00805F9B34FB CHAR_HW_REVISION 硬件版本
00002A28-0000-1000-8000-00805F9B34FB CHAR_SOFTWARE_REVISION 软件版本
de5bf728-d711-4e47-af26-65e3012a5dc7 SERIAL_PORT_SERVICE 串口服务
de5bf729-d711-4e47-af26-65e3012a5dc7 SERIAL_PORT_CHARACTER_NOTIFY 串口字符通知
de5bf72a-d711-4e47-af26-65e3012a5dc7 SERIAL_PORT_CHARACTER_WRITE 串口字符写入
00003802-0000-1000-8000-00805f9b34fb PAY_MAIN_SERVICE_UUID 支付主服务UUID
00004a02-0000-1000-8000-00805f9b34fb PAY_BASIC_WRITE_NOTIFY_UUID 支付基本写入通知UUID
public abstract class BaseReqCmd {
    protected static final String TAG = "Jxr35"; //日志
    protected byte key;
    protected int type;
 
    protected abstract byte[] getSubData();
 
    public BaseReqCmd(byte b) {
        this.key = b;
    }
 
    public byte[] getData() {
        byte[] bArr = new byte[Constants.CMD_DATA_LENGTH];  //固定数值发包长度为16个字符
        bArr[0] = this.key; //功能对应键,在findwatch中对应80,即0x50
        byte[] subData = getSubData();
        if (subData != null) {
            System.arraycopy(subData, 0, bArr, 1, subData.length); //将subData的内容放入
        }
        addCRC(bArr); //添加crc校验码,这里的crc并不是一个标准的CRC,单纯起到一个简单的错误检测。
        return bArr;
    }
 
    private void addCRC(byte[] bArr) {
        int i = 0;
        for (int i2 = 0; i2 < bArr.length - 1; i2++) {
            i += bArr[i2];
        }
        bArr[bArr.length - 1] = (byte) (i & 255);
    }
}
public abstract class BaseReqCmd {
    protected static final String TAG = "Jxr35"; //日志
    protected byte key;
    protected int type;
 
    protected abstract byte[] getSubData();
 
    public BaseReqCmd(byte b) {
        this.key = b;
    }
 
    public byte[] getData() {
        byte[] bArr = new byte[Constants.CMD_DATA_LENGTH];  //固定数值发包长度为16个字符
        bArr[0] = this.key; //功能对应键,在findwatch中对应80,即0x50
        byte[] subData = getSubData();
        if (subData != null) {
            System.arraycopy(subData, 0, bArr, 1, subData.length); //将subData的内容放入
        }
        addCRC(bArr); //添加crc校验码,这里的crc并不是一个标准的CRC,单纯起到一个简单的错误检测。
        return bArr;
    }
 
    private void addCRC(byte[] bArr) {
        int i = 0;

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2024-11-28 17:48 被p1yang编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (5)
yichen115
雪    币: 596
活跃值: (14280)
能力值: ( LV13,RANK:606 )
在线值:
发帖
回帖
粉丝
私信
2

可以可以,我的那块拆掉了hhh,里面是瑞昱的 RTL8762DT

2024-11-28 17:02
0
p1yang
雪    币: 426
活跃值: (1919)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
3
yichen115 可以可以,我的那块拆掉了hhh,里面是瑞昱的 RTL8762DT
是安卓的系统么,我在想办法刷机了
2024-11-28 17:31
0
yichen115
雪    币: 596
活跃值: (14280)
能力值: ( LV13,RANK:606 )
在线值:
发帖
回帖
粉丝
私信
4
p1yang 是安卓的系统么,我在想办法刷机了
不是安卓,只是个ARM M 核的小芯片
2024-11-28 17:35
0
p1yang
雪    币: 426
活跃值: (1919)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
5
yichen115 不是安卓,只是个ARM M 核的小芯片
嗷嗷
2024-11-28 17:37
0
愧不如人
雪    币: 0
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
2024-12-20 18:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码