Pentesting BLE - Bluetooth Low Energy

htARTE（HackTricks AWS Red Team Expert） を通じてゼロからヒーローまでAWSハッキングを学ぶ！

HackTricksをサポートする他の方法:

HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
**💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする
ハッキングトリックを共有するためにPRを HackTricks と HackTricks Cloud のgithubリポジトリに提出する

はじめに

Bluetooth 4.0仕様から利用可能なBLEは、2400から2483.5 MHzの範囲をカバーする40チャンネルのみを使用します。これに対して、従来のBluetoothは同じ範囲で79チャンネルを使用します。

BLEデバイスが通信する方法は、広告パケット（ビーコン）を送信することです。これらのパケットはBLEデバイスの存在を他の近くのデバイスにブロードキャストします。これらのビーコンは時々データを送信することもあります。

リスニングデバイス、またはセントラルデバイスとも呼ばれるデバイスは、広告パケットにスキャンリクエストを送信して特定の広告デバイスに応答することができます。そのスキャンへの応答は、初期の広告リクエストに収まらなかった追加情報を含む同じ構造を使用します。これには、フルデバイス名などが含まれます。

プリアンブルバイトは周波数を同期させ、4バイトのアクセスアドレスは、同じチャンネルで接続を確立しようとする複数のデバイスがあるシナリオで使用される接続識別子です。次に、プロトコルデータユニット（PDU）には広告データが含まれます。いくつかの種類のPDUがありますが、最も一般的に使用されるのはADV_NONCONN_INDとADV_INDです。デバイスは、接続を受け入れない場合はADV_NONCONN_IND PDUタイプを使用し、データを広告パケットでのみ送信します。デバイスは、接続を許可し、接続が確立されると広告パケットの送信を停止する場合はADV_INDを使用します。

GATT

Generic Attribute Profile（GATT）は、デバイスがデータをどのようにフォーマットして転送するかを定義します。BLEデバイスの攻撃対象を分析する際には、GATT（またはGATTs）に注意を集中することが多いです。なぜなら、これがデバイス機能がトリガーされる方法やデータが格納、グループ化、変更される方法だからです。GATTは、デバイスの特性、記述子、およびサービスを16ビットまたは32ビットの値として表にリストアップします。特性は、セントラルデバイスとペリフェラル間で送信されるデータ値です。これらの特性には、それに関する追加情報を提供する****記述子が付属していることがよくあります。特性は、特定のアクションを実行する関連する場合は、サービスにグループ化されることがよくあります。

列挙

hciconfig #Check config, check if UP or DOWN
# If DOWN try:
sudo modprobe -c bluetooth
sudo hciconfig hci0 down && sudo hciconfig hci0 up

# Spoof MAC
spooftooph -i hci0 -a 11:22:33:44:55:66

GATTool

GATToolは、他のデバイスとの接続を確立し、そのデバイスの特性をリストアップし、その属性を読み書きすることができます。 GATTToolは、-Iオプションを使用して対話型シェルを起動できます。

gatttool -i hci0 -I
[ ][LE]> connect 24:62:AB:B1:A8:3E Attempting to connect to A4:CF:12:6C:B3:76 Connection successful
[A4:CF:12:6C:B3:76][LE]> characteristics
handle: 0x0002, char properties: 0x20, char value handle:
0x0003, uuid: 00002a05-0000-1000-8000-00805f9b34fb
handle: 0x0015, char properties: 0x02, char value handle:
0x0016, uuid: 00002a00-0000-1000-8000-00805f9b34fb
[...]

# Write data
gatttool -i <Bluetooth adapter interface> -b <MAC address of device> --char-write-req <characteristic handle> -n <value>
gatttool -b a4:cf:12:6c:b3:76 --char-write-req -a 0x002e -n $(echo -n "04dc54d9053b4307680a"|xxd -ps)

# Read data
gatttool -i <Bluetooth adapter interface> -b <MAC address of device> --char-read -a 0x16

# Read connecting with an authenticated encrypted connection
gatttool --sec-level=high -b a4:cf:12:6c:b3:76 --char-read -a 0x002c

Bettercap

ベターキャップ

# Start listening for beacons
sudo bettercap --eval "ble.recon on"
# Wait some time
>> ble.show # Show discovered devices
>> ble.enum <mac addr> # This will show the service, characteristics and properties supported

# Write data in a characteristic
>> ble.write <MAC ADDR> <UUID> <HEX DATA>
>> ble.write <mac address of device> ff06 68656c6c6f # Write "hello" in ff06

AWSハッキングをゼロからヒーローまで学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法:

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksグッズを入手してください
The PEASS Family、当社の独占的なNFTsコレクションを発見してください
**💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローしてください。
ハッキングトリックを共有するために、PRを HackTricks および HackTricks Cloud のGitHubリポジトリに提出してください。

PreviousLow-Power Wide Area Network NextBurp Suite

Last updated 3 days ago