无线电攻击初探

  • A+
所属分类:IoT

本文首发于奇安信攻防社区

社区有奖征稿


· 基础稿费、额外激励、推荐作者、连载均有奖励,年度投稿top3还有神秘大奖!

· 将稿件提交至奇安信攻防社区(点击底部 阅读原文 ,加入社区)

点击链接了解征稿详情

无线电历史&背景

为了各位读者阅读的效率,和本人写文章的效率,再加上我是在攻防社区发布的这篇文章,此等“片汤话”仅仅为了阐述问题的完整性,在下一定简明扼要,重心放于分享攻击、利用问题。(为了方便大家了解实现部分,要是各位师傅对历史背景不感兴趣可直接跳转到马可尼实验装置部分)

电磁波的发现

19世纪60年代,麦克斯韦提出电磁场的理论,并从理论上推测到电磁波的存在,可惜他英年早逝,只活了48岁,未能用实验来证明自己推测的正确性。
1887年,年仅29岁的德国人赫兹首先发现并验证了电磁波的存在。赫兹的重大发现,不但为无线电通信创造了条件,而且确定电磁波和光波一样,具有反射、折射和偏振等性质,验证了麦克斯韦关于光是一种电磁波的理论推测。

赫兹发现,电磁波可以毫无阻碍地穿过墙壁,不过遇到大而薄的金属片便被阻挡住了。他还测定了电磁波的波长,并计算了电磁波的传播速度,发现它在真空中的传播速度和光一样快。现在我们常说的无线电波、红外线、可见光、紫外线、X射线、γ射线都是电磁波。

人们为了纪念这位年轻的科学家为人类做出的巨大贡献,就用他的名字来命名物理学和数学的一些概念,如“赫兹波”、 “赫兹”、“矢量”、 “赫兹函数”等,并采用“赫兹”(Hz)作为频率的单位 。

无线电的发明

1895年意大利人马可尼( Guglielmo Marchese Marconi,1874-1937)成功进行了以无线电波传播信号的实验,次年即前往英国申请专利。他于1897年成立“无线电报及电信有限公司”( WirelessTelegraph&Signal Co.,Ltd.,1900年改名为Marconi’s WirelessTelegraph Co.,Ltd.),1899年建立起了跨越英吉利海峡的英法之间的无线电通信。1901年12月又在加拿大用风筝牵引天线,成功接收到了大西洋彼岸的无线电报,这一试验成功的消息轰动世界。自此,多个国家的军事要塞、海港船舰上开始配置无线电通讯设备,并在远洋航行的船舶与陆地保持联络,保障海上安全以及军事通讯方面发挥了重要作用。

但有关无线电的发明者也存在争议,另一种说法认为尼古拉·特斯拉 (Nikola Tesla)是无线电的发明人。1893年夏,特斯拉在演讲时详细阐述了无线电发送和接受方面的六项基本要求。1897年,特斯拉提交了关于无线电的专利,专利的具体不是很清楚,哪些用于无线输电,哪些用于信号通信,一目了然。专利于1900年3月20日获得批准,编号为645576号,早于马可尼的四电路调谐装置。由于与特斯拉发明专利的类似性,1900年马可尼申请专利时遭到了拒绝。1901年,马可尼首次连接大西洋彼岸,该技术采用了17项专利。而后,特斯拉对马可尼发起诉讼,但特斯拉的撤诉使得发明人成为一个争议性问题。直到1943年美国最高法院推翻了承认马可尼发明权的关于无线电的发明人,认为特斯拉才是无线电专利的发明人。

不同频段电磁波应用

频段 符号 波长范围 频率范围 应用范围
超长波(甚低频) VLF 10w~1wm 3-30kHz 海岸:潜艇通信
长波(低频) LF 10000-1000m 30-300kHz 大气层内中等距离通信、地下岩层通信、海上导航
中波(中频) MF 1000-100m 300-3000kHz 广播、海上导航
短波(高频) HF 100-10m 3-30MHz 远距离短波通信、短波广播
超短波(甚高频) VHF 10-1m 30-300MHz 电离层散射通信(30-60MHz)、流星余迹通信(30-100MHz)、人造电离层通信(30-144MHz)、对大气层内、外空间飞行体(飞机、导弹、卫星)的通信、对大气层内电视、雷达、导航
分米波(特高频) UHF 1-0.1m 300-3000MHz 对流层工散射通信(700-1000MHz)、小容量(8-12路)微波接力通信(352-420MHz)、中容量(120路)微波接力通信(1700-2400MHz)、移动通信
厘米波(超高频) SHF 10-1cm 3-30GHz 大容量(2500路、6000路)微波接力通信(3600-4200MHz,5850-8500MHz)、数字通信、卫星通信、波导通信
毫米波(极高频) EHF 10-1mm 30-3THz 穿入大气层时的通信

以上内容源自百度百科,链接 https://baike.baidu.com/item/无线电/3979?fr=aladdin

马可尼实验原理&环境

1894年,也就是赫兹去世的那年,马可尼刚满20岁。有一天,他正和自己的哥哥在阿尔卑斯山度假,偶然读到了电气杂志上赫兹的实验介绍和论文。
他马上想到,电磁波可以用于通信。于是,他匆忙结束假期赶回家中,着手进行相关的实践。

很快,马可尼就取得了进展。他在家里发明了一个简陋的无线电装置,用无线电波打响了楼下的电铃。

1895年夏,马可尼对无线电装置的火花式发射机和金属粉末检波器进行了改进,在接收机和发射机上都加装了天线,成功地进行了无线电波传输信号的实验。

同年秋天,马可尼将实验从室内转移到室外,通信距离增大到2.8千米,不但能打响电铃,而且还能在纸带上记录莫尔斯电码。

在取得初步的成果之后,马可尼迫不及待地向意大利政府申请专利并希望获得研发经费。然而,目光短浅的意大利政府忙于铺设有线通信电缆,认为马可尼的发明并不靠谱,拒绝了他。

于是,义愤填膺的马可尼在母亲的支持下,来到英国伦敦,希望能够成功申请专利并获得支持。

1896年6月2日,马可尼如愿申请到了自己的无线电专利,当时名为“发射电脉冲和信号及其设备的改进”,专利号码为12039/96。

获得专利后,马可尼积极在社会名流前奔走,演示自己的新发明。不久后,马可尼邂逅了英国邮局首席电气工程师威廉·普里斯(William Preece)。普里斯很快意识到马可尼发明装置的价值,积极为其奔走宣传。

1897年,马可尼和他的助手在英国海岸进行跨海无线电通信试验。

他们将发射机安装在海岸上的一间小房子里,屋外竖起一根高杆子,上面架设的是用金属圆筒制成的天线。

刚开始时,马尼可将接收机放在距海岸4.8公里的一个小岛上。结果,试验很容易就获得了成功。之后,他又将距离扩大至14.5公里,也获得成功。

此后,马可尼不断改进通讯装置,使其通讯距离不断增加。

1897年,马可尼在伦敦成立了”无线电报及电信有限公司”,后来改名为”马可尼无线电报有限公司”。

1898年7月,马可尼的无线电报装置正式投入商业使用,当时是为爱尔兰《每日快报》报道金斯汤赛船的情况,大获成功。

上面这些文字介绍来源于搜狐的一篇博客,(博主名称:鲜枣课堂)https://www.sohu.com/a/425942476_100265941

马可尼实验装置:

与其描述那么多我们直接上图吧:

  1. 整体电路原理图:
    无线电攻击初探

  2. 发射端:
    实际上,核心原理就是发射端:交流生压+LC谐振回路+传输天线。接收端:LC谐振回路+小信号放大模块+交互部分。

    了解到了这些,下面就让我们来搞事情

在下构建的实验环境&电路

发射端:

我们使用的直流升压模块(此等危险物品在下决定先不开源),输出电压是300kV 交流电(由于实验比较久远在下实在忘记了输出电压的频率)。
能源供给:电池型号为两节3.7V 18650型号电池。
通过上述描述便可得知一般市面上购买的电容、电感可能无法适用于次实验中,为此,我的发射端构建的LC谐振回路用的都是自制的电容、电感。(在下实在是怂)
实际电路图:
无线电攻击初探
电路图(供参考):
无线电攻击初探

DIY 电容:Leyden Jar

说到这里我想各位师傅一定可以回忆起中学时我们学习的电容定义,一句话解释导体+介质+导体(夹心饼干结构)用于存储电荷。
好的,Leyden Jar非常完美的诠释着这句话。来,上图:
无线电攻击初探

相信各位心灵手巧的师傅们看到这张图便可以非常完美的搞定这个电容,不需要我过多饶舌。为了更多同学们,接下来我将进行保姆级别解说:

首先,通过图片的观察,这个电容需要一个瓶子,当然这个瓶子只要不是金属瓶子(没有外部漆皮的易拉罐)都是可以的。这里我用的是一个塑料罐子。
再来是金属部分,构造两个端口用于连接电路,对应到上图就是瓶子上面伸出来的圆球,和包裹在瓶子外面的铝箔。为了保证Leyden Jar的性能,要近可能在瓶子外边贴铝箔时排净空气、防止气泡。
结合我们中学学习的知识,电容C大小的决定式C = (ε0 εr S)/d导体间距d大小我们无法改变,但是εr、s我们是可以增大的。为了保证f0 = 1/2pisqrt(LC) 辐射在VHF或HF频段。具体做法:

增加S:其实这一点上图中就有所设计,在金属棍下方加链条,但是经过现实实验检测这种效果并不是很好,为此我经过电刷的启发,在金属棍下方焊上“流苏状”铝箔以增加正对面积。

增加εr:这个方法就比较简单了,针对钞能力选手可以选择矿物油等物质填充到罐子里,普通玩家在罐子里加点盐就好了ssfd。最终呈现效果图:
无线电攻击初探

DIY 电感:

电感,相信大家都知道奥斯特,“右手螺旋定则”,那么理解在下这个自制电感就会很容易。
和上一篇技术分享用到的铜线号一致——AWG 24,通过下图可以知道我将这个线圈螺旋绕在一个PVC管子上。(有些大牛可能会质疑,为什么不绕在铁芯上。一句话解释——简易版、抛砖引玉LoL)
无线电攻击初探

实验中我用到的PVC管子直径d=8cm,结合升压模块的输出的电压频率(下一个模块告诉大家一些“骚操作”,当输出电压很大时如何测电磁波频率)大小绕制线圈,这里我绕制了25圈,螺距是1cm(时间久远可能有出入,不过思路是正确的)。那么问题就来了,怎么测这个自制电感的电感值大小呢?

这里推荐大家一个来自“电子发烧友”网站,用于大致测定线圈电感大小的在线计算器:http://www.elecfans.com/tools/luoxuanxianquandiangan.html
通过这个工具可以先大致估算一下量级,当然下面我将介绍一种较为准确的测定方式。
实验器材:交流信号发生器、100欧姆电阻、自制线圈、示波器
实验电路:
无线电攻击初探
实验方法:
将示波器两个测试端口分别连接在信号发生器两端和自制线圈两段。通过改变信号发生器正弦波频率,使得线圈电压波形与输入电压产生45度相移,或者大小等于sqrt(2)/2输入电压时,根据公式:jwL/(R+jwL) Vs = sqrt(2)/2 Vs 可以较为准确得出自制线圈电感L的大小。
效果图:
无线电攻击初探

传输天线

以下言论,天线大佬可自行忽略。天线本身就是一个无源的信号“增益器”,将全向均匀辐射的电磁波能量整合到特定方向。要说这个天线怎么设计?大可不必过于深究,本身就是一个简易的装置,我们用个简单的monopole 天线(长铜丝)便可完成任务。在后续攻击部分我会对天线这部分进行一些必要讨论。这里我就随便捏了一个天线(如下图)。
无线电攻击初探

接收端

接收端考虑到创新、新颖的问题,我并没有完全去复刻一个电报接收机,而是做了一些转变。
当然接收的谐振回路是不变的,这部分可以说是所有通信系统的基础。谐振回路后面我连接的是一个电磁波信号检测装置,最后加入的交互模块——LED灯(由于师傅实在是找不到蜂鸣器了)
说那么多,先来一张(实际)实验电路图:
无线电攻击初探

scheme:
无线电攻击初探

便携式体现——用个上一篇推文中做的直流5V稳压器,作电源供给。检测部分:LC谐振回路、稳压电容、交流小信号检测装置。
其中,小电流检测使用了三个s9014三极管,使最终电流使最终电流大小Id = 100^3 * ib 以足够驱动LED灯,充当电子开关作用。LED灯亮表示接收到信号,对应到逻辑“1”。

实验的效果

这个实验

  1. 发射端演示视频:
    https://www.bilibili.com/video/BV1j54y1H7QP/

  2. 整体接收情况演示视频:
    https://www.bilibili.com/video/BV1pV411x7E5/

    到此,各位师傅也就从底层明白了,或者说构建出来无线电发射、接收的基本电路,也就是我们日常研究的射频电路,比方NFC、Wi-Fi、BLE······ 物理层的相关基本框架。BPSK、4PSK等通讯方式我会在后续推文中进一步介绍,或将他们用硬件的方式融入到这个工程当中。
    本文中的实验更像是一种开发、验证式实验。比较直接的应用对应可能是EMP电磁脉冲攻击。

攻击&利用分析

自底向上、自古到今地了解通信系统的发展过程和物理层,虽说没有和找到几个栈溢出、挖到wifi、ble漏洞有着直接关系,但是可以较为完整了解整个系统的层次,否则我们的攻击只能局限于从数据链路层往上。目前的漏洞利用向着组合利用方向发展,缺少物理层的考量可能不算什么,但是有了物理层的融合思路一定会增加,有些难点、壁垒存在绕过可能。

我想到的是可能安全大牛研究安全久了,会对某个领域比较精通,或者说安全的研究就好比说“千里之堤,溃于蚁穴。”我们习惯性集中在一点,有可能缺乏对整个系统完整(包括物理层)的认知,造成漏洞的研究集中于复现大牛的漏洞,有些创造性的还是挖掘和大牛漏洞相关的那种,缺乏从“0”到“1”的那种创新性。

接着设计天线的话题来讲,这种辐射电磁波的装置,的确可以当作EMP武器来使用,但是由于我们能拿到的元器件在功率上的要求都是存在严格把控的。师傅们可能会看到网上拿着所谓EMP武器攻击智能门锁、自动售货机等达成了一些攻击目的,但是好比刚才说的功率限制,这种“暴力”攻击的适用范围有限,防御方式也已经存在,从民间EMP武器2016年公布以来已经5年了,现在很少有厂家会忽视这个问题。也就是说传输天线是线圈,频带太宽、方向性D太小。

如果可以增加D,进一步汇聚能量,减少损耗,将攻击集中于一点(MCU、其他处理芯片的几个管脚上)即使有可能不会造成逻辑错误,尚可能你会对主板造成损伤。目标就好像将门锁等智能设备外壳打开,通过接线方式造成处理逻辑错误,转化成隔着外壳注入逻辑导致错误。

当然这目前只是在下一些想法,单纯从物理的层面提出EMP的革新方向,为各位电磁攻击研究者提供思路。

PS 文末特附上完整马可尼实验图,供大佬们参考、研究:
无线电攻击初探

END



【版权说明】本作品著作权归Mori所有,授权补天漏洞响应平台独家享有信息网络传播权,任何第三方未经授权,不得转载。



无线电攻击初探
Mori

安全领域的小学生,Geek精神的推崇者


敲黑板!转发≠学会,课代表给你们划重点了

复习列表





实战遇到的好用提权方法集合


DIY苹果无线充电绕过手机充电认证


某CMS代码执行漏洞分析


出浅入深玩转SQL注入


开源USB协议栈漏洞挖掘


某AOSP框架层提权漏洞分析

无线电攻击初探


分享、点赞、在看,一键三连,yyds。
无线电攻击初探

点击阅读原文,加入社区,获取更多技术干货!

本文始发于微信公众号(补天平台):无线电攻击初探

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: