btlejack中的access_address的获取

最新推荐文章于 2022-08-19 11:39:07 发布
最新推荐文章于 2022-08-19 11:39:07 发布
阅读量169 收藏
点赞数
文章标签: 嵌入式硬件 物联网 iot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beidideshu/article/details/125086753
版权

原理

其实就是利用上一篇中的那个机制来实现对BLE任意数据的抓取然后不断的扫描非广播
信道,在每个信道接受固定次数的数据,然后提取地址查看是否正确。因为任意抓取,
地址有很多干扰啊。
其步骤是
	1.上位机发送“获取access_address”的命令。
	2.启动radio接受,并在中断中设置需要操作的动作。
下面是radio中断里面提取地址的主要代码,其实就是扫描信道,然后对地址进行
合法性检验。

在这里插入图片描述

btlejack原始C++
case SNIFF_AA:
            {
              g_sniffer.pkt_count++;

              /* Dewhiten bytes 4 and 5. */
              candidate_pdu[0] = rx_buffer[4];
              candidate_pdu[1] = rx_buffer[5];
              dewhiten(candidate_pdu, 2, g_sniffer.channel);
              if (((candidate_pdu[0] & 0xF3) == 1) && (candidate_pdu[1] == 0))
              {
                  /* Check AA */
                  aa = rx_buffer[0] | rx_buffer[1]<<8 | rx_buffer[2]<<16 | rx_buffer[3]<<24;
                  if (seen_aa(aa) > 1) {
                      /* We may have a candidate AA. */
                      pLink->notifyAccessAddress(aa, g_sniffer.channel, NRF_RADIO->RSSISAMPLE);
                  }
              }
              else
              {
                /* Shit right by one bit once and twice */
                for (j=0; j<2; j++)
                {
                  /* Shift right. */
                  for (i=0; i<9; i++)
                    //数据传输先从低位开始,所以先处理低位,右移就是保留高位
                    rx_buffer[i] = rx_buffer[i]>>1 | ((rx_buffer[i+1]&0x01) << 7);

                  /* Dewhiten candidate PDU. */
                  candidate_pdu[0] = rx_buffer[4];
                  candidate_pdu[1] = rx_buffer[5];
                  dewhiten(candidate_pdu, 2, g_sniffer.channel);

                  /* Check if PDU is the one expected. */
                  if (((candidate_pdu[0] & 0xF3) == 1) && (candidate_pdu[1] == 0))
                  {
                      aa = rx_buffer[0] | rx_buffer[1]<<8 | rx_buffer[2]<<16 | rx_buffer[3]<<24;
                      if (seen_aa(aa) > 1) {
                          /* We may have a candidate AA. */
                          pLink->notifyAccessAddress(aa, g_sniffer.channel, NRF_RADIO->RSSISAMPLE);
                      }
                  }
                }
              }
              if (g_sniffer.pkt_count > 100)
              {
                  g_sniffer.channel = (g_sniffer.channel + 1)%37;
                  radio_set_sniff(g_sniffer.channel);
                  g_sniffer.pkt_count = 0;
              }

              /* Continue to receive. */
              NRF_RADIO->TASKS_START = 1;
            }
            break;

适配到keil中的,没大改动 c。主要是把 每个信道的接受次数给改一下。
#if 1			//SNIFF_AA
					case SNIFF_AA:{	

              g_sniffer.pkt_count++;
              // 白化第四位第五位, Dewhiten bytes 4 and 5. 
              candidate_pdu[0] = rx_buffer[4];
              candidate_pdu[1] = rx_buffer[5];
              dewhiten(candidate_pdu, 2, g_sniffer.channel);
							
              if (((candidate_pdu[0] & 0xF3) == 1) && (candidate_pdu[1] == 0))
							{// Check AA 
                  aa = rx_buffer[0] | rx_buffer[1]<<8 | rx_buffer[2]<<16 | rx_buffer[3]<<24;
								
									if (is_valid_aa(aa)) {
										printf("第%d轮,正确的地址 %x\r\n",sum,aa);
                      //We may have a candidate AA. 
                    //Link_notifyAccessAddress(aa, g_sniffer.channel, NRF_RADIO->RSSISAMPLE);
										}   
							}else{
									//Shit right by one bit once and twice
									//这是因为地址可能是55开头的,所以需要移动两位,是两位
									for (j=0; j<2; j++){
											// Shift right.
											for (i=0; i<9; i++)
													rx_buffer[i] = rx_buffer[i]>>1 | ((rx_buffer[i+1]&0x01) << 7);

											// Dewhiten candidate PDU. 
											candidate_pdu[0] = rx_buffer[4];
											candidate_pdu[1] = rx_buffer[5];
											dewhiten(candidate_pdu, 2, g_sniffer.channel);

											// Check if PDU is the one expected.
											if (((candidate_pdu[0] & 0xF3) == 1) && (candidate_pdu[1] == 0)) {
													aa = rx_buffer[0] | rx_buffer[1]<<8 | rx_buffer[2]<<16 | rx_buffer[3]<<24;
													if (is_valid_aa(aa)) {
														// We may have a candidate AA. 
															printf("第%d轮,正确的地址 %x\r\n",sum,aa);
														//Link_notifyAccessAddress(aa, g_sniffer.channel, NRF_RADIO->RSSISAMPLE);
													}
											}
									}
								}
								if(g_sniffer.pkt_count >10){
											sum++;
											g_sniffer.channel = (g_sniffer.channel + 1)%37;
											radio_set_sniff(g_sniffer.channel);
											g_sniffer.pkt_count = 0;
								}
									// Continue to receive. 
										NRF_RADIO->TASKS_START = 1;
							}break;							
#endif
北地的树
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
蓝牙协议介绍
嵌入式技术
04-02 1616
1、广播(ADV,Advertising) 1.1、BLE 报文结构
如何解决“access violation at address”错误
10-05 4860
用户在计算机运行.exe应用程序的时候,有时候程序运行不起来,却遇到提示:“access violation at address xxxxxxxxx ”,比如我这台计算机在执行OA精灵快捷方式的时候,出现了如下图所示提示,这种情况下应该怎么解决呢? 工具/原料 windows系统...
[BLE--Link Layer]物理信道
suxiang198的博客
08-19 3962
简述有线通信,是用电缆直接连接,然后分距离的长短,有些会需要加载波,信号也可能会经过不同的调制方式调制。无线通信也是一样,只是信号的传输是通过射频了,通过在某一频段,对无线信道进行调制,将数据发送出去。BLE物理信道在Physical Layer部分提到过BLE的物理信道,一共40个,在2.4GHz的ISM频段。其实BLE的这40个物理信道是分成了两组的,一组是Advertising信道(3个),一
nRF52840的Radio模块详解
飞临云的博客
08-19 3003
2.4 GHz Radio收发器兼容多种无线电标准,如1 Mbps、2 Mbps和远程低功耗蓝牙。完全支持IEEE 802.15.4的250 kbps模式,以及Nordic专用的1 Mbps和2 Mbps操作模式。下面列出了Radio的主要功能:•多域2.4 GHz无线电收发器:•1 Mbps、2 Mbps和长距离(125 kbps和500 kbps模式)低功耗蓝牙•250 kbps的IEEE 802.15.4模式•1 Mbps和2 Mbps的Nordic专有模式•一流的链路预算和低功耗运行•具有支持Eas
解决nrf52832 radio配置反复切换,radio不能读标签的问题
qq_39306385的博客
07-19 1224
切换配置时,radio还在等待读卡的状态,官方读取程序如下: /**@brief Function for reading packet. */ uint32_t read_packet(uint8_t *received, uint32_t *getRssisample) { uint32_t result = 0; NRF_RADIO->EVENTS_READY...
微信小程序获取access_token
03-29
起因是想在微信小程序获取access_token。  (此图片来源于网络,如有侵权,请联系删除! )  之前资源只有一个阿里云虚拟主机和一个域名,于是用C#后端写了GET请求的接口,准备调用自己域名下的接口获取access_...
如何基于python对接钉钉并获取access_token
12-20
在本文,我们将深入探讨如何基于Python对接钉钉API并获取access_token,这是一个重要的步骤,因为access_token是与钉钉接口交互的基础。首先,我们需要在钉钉开发者平台注册一个应用,这将为我们提供必要的appkey...
微信access_token的获取开发示例
10-24
在微信公众平台接口开发Access Token占据了一个很重要的地位,相当于进入各种接口的钥匙,拿到这个钥匙才有调用其他各种特殊接口的权限。
微信公众号获取access_token的方法实例分析
08-25
主要介绍了微信公众号获取access_token的方法,结合实例形式分析了java实现微信公众号获取access_token的相关原理、实现方法及操作注意事项,需要的朋友可以参考下
Navicat 提示 Access violation at address ***(如004ECCF4) in module ‘navicat.exe’. Read of address ***(如...
weixin_34310127的博客
07-31 7032
Navicat 提示 Access violation at address ***(如004ECCF4) in module ‘navicat.exe’. Read of address ***(如00000048)   问题显示如下图所示: 解决:这是内存越界的问题,需要重新注册Windows的动态链接库。方法如下: 运行 -&gt; cmd,然后在命令行输入:for %1 in...
BLE(3)—— 空口数据包组成
热门推荐
StephenZhou
07-08 1万+
基于 BLE 5.1 协议 Core Spec。 BLE 在空进行数据传送,在 Spec 称之为 Air Interface packets,俗称空口包。既然是数据包,就一定要遵循一定的数据格式,本章来分析空口数据包的最基本的组成格式。 早在 BLE 4.2 的时代,仅仅支持 1M 的 symbol rate,随着蓝牙标准的发展,BLE 5.0 不仅仅支持了 1M PHY,同时引入了 2M...
蓝牙相关学习:4.1.BLE空口包结构
嗯...
01-29 2351
Air Interface PacketUncoded PHY 空口包格式Peramble 前导1M Preamble2M PreambleAccess Address参考地址 BLE空口包(packet,又称air interface packet)涉及BLE协议栈link layer,L2CAP,SMP和ATT等各层次 是BLE的统一数据传输格式 Uncoded PHY 空口包格式 转 :BLE(3)—— 空口数据包组成 :https://stephenzhou.blog.csdn.net/articl
BLE 链路层(LL)的数据结构
ching的专栏
12-16 5248
一 链路层的数据结构 在链路层上传输的数据格式如下图所示: 广播报文和数据报文都包含 Preamble(前导码), AccessAddress(接入地址),PDU(数据),CRC。其Constant Tone Extension是可选的。 前导码 接入地址 PDU Header Length MIC(可选) CRC Constant Tone Extension(可选) 1 前导码 报文最开始的8bit是01010101(0x55)或者10101010(0xAA)。这是很简单的交替序列。接收机
解决nordic切换参数失败的问题
qq_39306385的博客
08-02 476
使用nordic的射频功能时,若在程序运行时,切换射频参数,会切换失败的情况。原因是在配置时,使用short寄存器的功能。不要使用以下的代码,代码即可。但是获取RSSI没有延时的位可以置位。 //no delays // NRF_RADIO->SHORTS |= 0x01|0x02|0x08;//shorts关于发送接收的字段对模式切换有影响,不要使用 ...
NRF52832之ESB功能与NRF24L01进行2.4G通信
YYGY731793898的专栏
07-29 5356
NRF52之ESB学习笔记 目的:为了能与NRF24L01通信,工程加入nrf_esb.c, nrf_esb.h 先了解RADIO的各种工作状态及流程 1状态 RADIO的工作状态: DISABLED RADIO无操作且功耗最低 RXRU RADIO加速进入准备接收 reception ramping up RXIDLE RADIO已经准备好开始接收了 RX RADIO正在接收 TXRU RADIO加速进入准备发送 TXIDLE RADIO准备好发送了 TX RADIO正在发送一个..
直接通过Radio寄存器发送BLE广播数据包
12-22 713
nrf5x radio射频模拟ble广播数据_一颗偏执的心-CSDN博客 #include "nrf51.h" #include "nrf_gpio.h" #include <stdio.h> #include <string.h> #include "nrf_delay.h" uint8_t adv_data[10] = {0x02,0x01,0x04, 0x06,0x09,0x4e,0x6f,0x48,0x52,0x3d}; uint8_t .
nrf52832学习笔记(2)获取rssi信号强度
jiang_2018的博客
11-04 8815
当设备连上手机后,设备可以通过rssi来一定程度判断设备和手机的距离 相关api函数 [in]conn_handle :当前连接句柄 [in]threshold_dbm: 阈值单位是dbm,当rssi与上一次收到的rssi差值大于等于这个阈值时就会 BLE_GAP_EVT_RSSI_CHANGED 事件 [in]skip_count:连续skip_count次超过threshold_dbm阈值产生...
NRF52832开发:射频驱动
jdh99的专栏
01-26 4717
NRF52832开发:射频驱动 本文博客链接:http://blog.csdn.net/jdh99,作者:jdh,转载请注明.   环境: 开发环境:MDK5.23 说明: 编写NRF52832射频驱动,本设计射频模块一直处于接收,如果有发送,等发送完毕后也会自动转为接收。 射频模块状态机: 源代码: dr
ChatGPT的access_token获取
最新发布
08-16
******用程序。 3. 在创建应用程序时,你需要选择相应的订阅...以上是获取 ChatGPT 的 access_token 的基本步骤,具体细节可能会因为 OpenAI 平台的更新而有所变化,请参考 OpenAI 的官方文档以获取最新的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值