谛听 — ⽆无线 Fuzzing 之旅 Kevin2600 翠花的⽇日常 翠花是位在报社⼯工作的⼥女编辑. 她跟很多⼈人⼀一样享受着科技带来的便捷. 智 能⼿手机成为她⽣生活中必不可少的⼀一部分. 每天早晨上班前, 她喜欢打开收⾳音 机了解下当天的天⽓气和交通状况. 上班途中她发现个化妆品打折的海报. 为 了获取更多的信息她⽤用⼿手机读取了海报上的⼆二维码标签. 结束了早上的⼯工作后，翠花喜欢到附近的咖啡店⾥里吃午餐. 最主要的原因 是店家提供免费 WIFI 上⺴⽹网. 下班归途中她带上新买的 Bluetooth ⽿耳机, 听 点⾳音乐放松下. 半路上翠花收到了家⾥里的智能电饭锅发来的 SMS 短信, 提 醒她晚饭已经蒸好, 回到家后即可⽤用餐. ⽆无线电波 原理从未改变: 频率 —> 调制 —> 编码 —> ⽆无线协议 攻击⽅方式五花⼋八⻔门: 信号干扰; 重放攻击; 数据伪造; 模糊测试 … 模糊测试 寻找漏洞的⽅方法. 通过向⺫⽬目标发送畸形数据, 试图使⺫⽬目标崩溃. 意想不到的数据: PDF ⽂文档; 图像⽂文件 or 其它交互形式? 意想不到的效果: Stack Overflow; Underflow; Out Bound Read .. 视频: TEMPEST TEMPEST 简介 电磁波干扰? 任何电⼦子设备都会产⽣生电磁场, 对其它⽆无线电设备造成干扰. 电磁波泄漏隐患? 显⽰示屏电磁信号可别解码并还原, 从⽽而达到远程监控⺫⽬目的. 视频: ⼆二维码注⼊入 ⼆二维码注⼊入 ⼆二维码拥有 2000+ 的数据存储量, ⾜足以注⼊入完整的恶意代码. 同样的攻击⽅方式也可运⽤用到 DHCP-主机名; NFC-NDEF; Bluetooth-Name ⽆无线 Fuzzing - WIFI Aircrack-NG 1.0 DoS 攻击 AirCrack-NG 1.0 — EAPoL 溢出 EAPoL — IEEE802.1X ⺴⽹网络端⼝口认证协议. Aircrack-NG在解析 EAPOL 认证包时默认最 ⼤大值为 256 bytes. 且不会超过此范围. 尝试在⻓长度位标识超出 256 bytes, 但实际 payloads 并未超出 (Invalid memory read) or 尝试实际 payloads 超出256 bytes (Heap corruption) WIFI 交互流程 数据结构 SSID Injection 攻击 众多⽆无线路由器 OS 具有”site survey“功能. ⽤用户可扫描周边⽆无线设备. 但对扫描 到的数据没有进⾏行正确过滤处理 ⼊入侵者可利⽤用 airbase-ng 或 mdk3 等⼯工具创建带有恶意代码 SSID 对⽆无线设备进 ⾏行 Fuzzing 攻击 SSID Injection 案例 ⽆无线⼊入侵者的必备设备 WIFI Pineapple (⼤大菠萝) 2.6 路由器操作系统 DD-WRT “23 SP1-RC4”, “23 SP2” and “24” SSID 仅⽀支持 32 bytes, 但可通过多个SSID 组合的⽅方式达到完整恶意代码⺫⽬目的 WIFuzz 攻击 通过 Python 的 Scapy 库⽣生成篡改 WIFI 802.11数据包 涵盖 WIFI ⺴⽹网络中的每⼀一阶段 Assoc; Auth; Deauth; EAPoL .. http://code.google.com/p/wifuzz/ ⽆无线 Fuzzing - 蓝⽛牙 Bluetooth 101 Bluetooth 2.0: 2.4ghz; 79 频道；1Mhz 带宽; 早期被⼲⼴广泛运⽤用于⽿耳机等 Bluetooth 4.0 (低功耗): 2.4ghz; 40 频道；2Mhz 带宽; IOT 设备的标配之⼀一 暴露年龄 的经典攻击: BlueBug; BlueSnarf; BlueSmack; CarWhisperer … Bluetooth 架构 2.0