家庭基站(,又称飞蜂窝,Femto本意是10的-15次方)是运营商为了解决室内覆盖问题而推出的基于IP网络的微型基站设备,通常部署在用户家中,甚至直接放在桌面上。 随着运营商网络建设基本完成,宏站基本不再增加,作为网优阶段解决信号覆盖盲区最有效的手段,倍受运营商青睐。由于通过IP与运营商核心网直接连接,并从用户侧来看,是完全合法的基站设备。
一般安装在用户触手可及的位置上,这就使得一直躲在通信机房这一天然物理安全屏障庇护下的传统通信厂商,终于要接受天下黑客的检阅了。然而,传统通信厂商在开发过程中的安全意识淡薄,导致了通信设备的安全漏洞比比皆是。近年来,、等安全大会上多次曝出的安全问题。
一、设备简介
如何获得一台设备呢?
闲鱼。。。
最大发射功率在30dBm,只有1W。而一般的GSM基站功率大约在20W左右。
安装之后,效果的确非常好。原来室内GSM信号只有一格,偶尔会”无信号”,屋里的手机经常打不通。开机之后,信号顿时变成满格,但制式是GPRS。大家家里没信号的话,可以打电话给10086申请,而且申请也是免费的。而且后续的话,运营商已经在准备3G和4G的了。比需要架室外和室内天线的直放站方案稳定很多,而且架设方便。
硬件组成
拆开发现里面有两块电路板,二者通过自定义标准的线缆相连,初步猜测线缆中至少有网络线缆4根。
一块是普通的WLAN AP,上面有的SoC芯片,与一般家用路由器无异。
另一块用于射频的板卡,主要由以下三部分组成:
TI的的DSP+ARM处理器
的FPGA
RF逆变器(左下角)
二、板卡渗透
可以直接登录,然后就是一个拥有root权限的Linux shell了。
$ 192.168.197.1
login: root
: 5up
顺便提一句,这个密码应该是的参考设计板PB44的默认密码,很多厂商拿来都不改。在搜索引擎上以”5up”和”root”为关键词,可以搜索到不少有趣的东西。
并且发现上面的基本没有裁剪,甚至连功能都有。
于是,可以直接抓取到所有连上此WiFi的流量:
-i br0 not port 23
访问 获得用户名为
abmoc@24320
然后在USER.js里发现原有的登录绕过问题没有得到修复,于是在浏览器中打开,输入以下脚本即可登录:
('role', '');
('', 'abmoc@24320');
('', [-2, 0, 1, 3, 11, 13, 15, 16]);
. = “=1;”;
. = 'main.asp?r=' + Math.() + '#index';
登录之后,我们就拥有了与运营商派过来开站的工程师完全一样的操作权限!
以下是一些管理界面截图:
然而发现之前曝出的文件上传下载的接口,以及欢迎短信下发的接口代码已经完全被删除了!但是真的删除了吗?
看起来WEB上做不成啥事情,于是在UART插座接上串口线,转战硬件层。
首先看到引导信息时
CPU: TI OMAP-L138 – (ARM)
: 6.8
BSP : 2.0/1
date: Sep 26 2012, 10:26:36
发现跑的操作系统是,引导结束之后,提示输入用户名和密码。暂时没有思路,于是尝试进入Boot模式。
在看到
Press any key to stop auto-boot…
之时,敲击键盘,进入 Boot。由于是一个陌生的环境,首先打问号看帮助。发现有几条命令可以用。
但是ls命令只能看文件名,不能看文件内容。此外,发现还有cp和rm两条命令可以用。面对着大把大把的文件,只能看文件名,不能看文件内容,好着急。
正常引导开机之后,扫描了一下端口,发现UDP/69端口打开。这个是TFTP( File )的端口。许多嵌入式设备都使用TFTP协议来传输固件。
于是在电脑上试图上传一个本地文件:
$ tftp
tftp> 192.168.197.241
tftp> put a.txt
然后再尝试下载,发现
tftp> get a.txt
xx bytes ..
说明上传成功。重启之后,发现文件仍然可以被tftp get到。
然后进去 Boot,发现上传的文件在/tffs0//里。看来,基站厂商还是对tftp的操作做了一些限制,把文件上传下载限制到了这个目录里面。
但是,不要忘了,我们在Boot模式下,还有cp和mv和rm命令。于是,剩下的工作就是辛苦的把其它目录的文件,一个一个地cp到目录里,然后再tftp get下来。
至此,我们就可以把系统里的所有文件都拉回到本地,进行分析。
然后四处看一看文件,发现/tffs0//.txt里面写着一行:
/tffs0/user2
十分可疑!
再调查一下/tffs0/user1目录中,把OAM.zip解压之后,发现就是乌云曝出有漏洞的那个版本的程序。
于是上传一个新的.txt,里面写成
/tffs0/user1
重启引导,发现之前的 debug / 2342@ 密码就可以直接用了,以及文件上传下载,以及欢迎短信的漏洞就都可以利用了。利用方式在乌云的文章上已经有详细描述,在此不再赘述。
原来,基站厂家的工程师,在上一次全网设备更新的时候,没有删除有漏洞的程序,而是把新的程序放在了/tffs0/user2目录里面,然后通过.txt指过去了。
这样下发的短信,实际上是由”真基站”发送下来的,而且这种短信不需要与核心网之间通信,核心网无从监管下达的欢迎短信是什么,并且可以任意修改欢迎短信的发件人和内容。欢迎短信的功能,原本只是用于提示用户已经加入了新的小区而已,这是系统的设计漏洞。此外,它的ARFCN和等参数与真基站无异,这样一来,试图通过基站参数进行伪基站检测的方案都将失效。
继续调查,发现版卡的串口输出中有如下字样:
:111.206.50.34
:
:
:
:0
: use usim card.
mac ok
():
() done
Ipsec Ip : 10.37.52.240
Enc key :
Enc key :
Auth key :
Auth key :
add net 10.1.0.0: 255.255.0.0: 10.37.52.240
add net 172.16.15.0: 255.255.255.0: 10.37.52.240
add host 111.206.50.34: 192.168.197.1
上面日志里打出的
:
,在相关的论文中也有描述,是开发过程中,项目组为了方便调试,使用的IPSec PSK认证方式,在投入生产环境部署的时候,已经关闭了这种认证方式了。
现在IPSec使用的认证方式是EAP-AKA,基于模拟USIM卡的认证。具体细节可以参阅。
EAP-AKA的认证方式,简单描述如下:
局端的SeGW( , 实际上是IPSec )后面跟着一个认证服务器,里面写了若干条认证五元组()。
IMSI: RAND,XRES,CK,IK,AUTN
认证开始时,先上报自身的IMSI。SeGW收到认证请求后,取出与IMSI对应的一条五元组,并把这条五元组标记为已经使用。将里面的随机数挑战RAND和鉴权令牌AUTN发给。先通过验证AUTN,从而验证SeGW是否是真的。验证通过之后,再根据装载的USIM卡里的Ki和OPc密钥,以及随机数挑战RAND,算出一个应答RES和两个密钥CK和IK。然后把RES传回给SeGW,SeGW核对RES和存在五元组里的XRES是否一致,从而完成对手机的认证。注意,协商出来的密钥CK和IK,在全过程中不会被传输,传输的只是RAND和XRES以及AUTN,即使通信被窃听,也无法获得加密密钥。
以上即是与SeGW之间的认证过程。实际上,把””的字眼换成”手机”,”SeGW”的字眼换成”基站”,就描述了手机与基站之间的认证过程,两种场景下的认证过程基本上是一致的。
首先对建立IPSec隧道时的IKEv2(UDP 500端口)的协议抓包分析,得到它协商出的加密方式如下:
:
:
– (PRF) :
– Group (D-H): 1024-bit MODP group
于是,打开,在抓到的ESP( )包上面,右键,将上述输出中的Enc key填写到的 Key字段,将上述输出中的Auth key填写到的 Key字段中。
注意,IPSec隧道流量的两个方向,分属不同的 SA( ) 和 SPI( Index),因此需要把这一组Key应用到SeGW->方向的流量上,并且把这一组Key应用到->SeGW方向的流量上。
上述日志打出的Key,需要改写成形如之后,才可以填入中。
填写完成之后,原来只能显示为ESP的数据包,即被解密。
继续分析,发现解密后的数据包有以下几种类型:
HNBAP: Home Node-B Part
RANAP: Radio Part
ICMP: (就是ping啦)
RTP: Real-time
SCTP: (上面还有SS7,7号信令)
NTP: Time (用于上电校时)
GTP: GPRS (手机的数据流量)
这些协议之间的关系如下图所示:
下图中,可以看到以GTP形式封装的用户数据,里面有一个HTTP请求。
下图中,看到开机之后,正在使用NTP协议进行时间校准。
下图中,可以看到向上发起注册请求,以及SeGW下发的注册成功的消息。并且,LAC( Aera Code)也在数据报文中。
特别注意到的是,附近某个人在不知情的情况下,连上了这台。可以看到这台手机的型号是三星 GT-I9308,跑着 4.3系统,手机后台通过GPRS产生的流量,被我们看的清清楚楚。
下图中可以看出,后台有360和QQ在上传的一些统计信息。
下图中可以看到,我们还捕获到了用户的IMSI号,并且可以通过反查来得到用户的手机号前几位。
用户的语音和短信在RTP报文里。
Vx:::
Vx:::
*****@
上述文件是/tffs0//imsi.cfg。 其中写了虚拟IMSI参数: Ki和OPc密钥,以及IMSI号。这些参数供与通信机房里的SeGW( , 实际上是IPSec网关)建立安全连接。
与SeGW之间的IPSec协议建立,需要使用真实的USIM卡,来完成基于EAP-AKA的双向鉴权。设备的底部即有一个USIM卡插槽。但是厂家为了调测以及管理方便,使用了虚拟USIM卡的方案,把鉴权所需要的参数,写在上述imsi.cfg文件中,这样便无需管理大量的USIM卡。
真实的USIM卡中存的也只有IMSI/Ki/OPc三个参数,因此只需要把上述三个参数写到文件中,并在程序中模拟3GPP中所需要的算法,即可完成相应的EAP-AKA鉴权过程。
关于对应的SeGW,在《基于IPSec-VPN的数字证书认证技术的研究与实现》论文中有提到,使用了公司的解决方案,是刀片式计算机,搭载有公司的处理器。
如果后续继续对取得的固件进行逆向分析,将有可能模拟出登录过程,从而使用IPSec VPN拨通SeGW,从而连入通信内网。
50005端口只允许被WLAN板卡 192.168.197.1 访问。
简单抓包分析发现,这是厂家自定义的一种通信协议,供WLAN板卡读取此端口以获得RF板卡的工作状态。并且工作状态在WLAN板卡的/tmp/目录下有对应的文件记录。
板卡网页的的登录密码位于 /tffs0/user2/OAM//web/.xml 里
abmoc@24320
comba (即)
admin (即)
-WAS (即2342@)
位于 /tffs0/user1/oam.db,依然是数据库。
此外,我们在的网页中,也发现了针对TD-SCDMA、4G等版本的适配代码。通过其它渠道也得知,运营商正在积极地推进4G 的部署。
三、后记
跟别人恶作剧,医院wifi挺好。
切勿用于非法用途。
探讨渗透测试及黑客技术,请关注并私信我。#小白入行网络安全# #安界网人才培养计划#
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需109元,全站资源免费下载 点击查看详情
站 长 微 信: nanadh666