来Track安全社区投稿~
千元稿费!还有保底奖励~( https://bbs.zkaq.cn )
一、电瓶车种类
国内电瓶车种类繁多,如爱玛、台铃、雅迪、绿源、新日、立马、小刀、小牛、三轮电动车 其他...
个人认知下只接触过大致3类
1、老式电动车、只能采取常规机械钥匙启动
2、近几年电动车、支持采用机械钥匙启动 也支持微波射频启动
ps:部分电动车采取双路控制且互不干扰
如:
1、机械钥匙启动、关闭 微波射频无法介入
2、微波射频启动、锁车 机械钥匙无法介入
3、机械钥匙可以锁定电动车龙头,该模式下 微波射频无法介入
二、误区
一直认为电动车采用蓝牙模块进行进场通信进行数据交互传输,拆解后如下
在对2类电动车遥控拆解后不难发现,遥控器芯片数字大致分为两类,即 固定码和滚动码
像小时候家里买的电视机“万能遥控器”进行红外模拟进行复制,这类都是固定码
部分电动车车型也是固定码,即 可以通过rfid直接重放进行车辆解锁操作
常见固定码芯片型号:2240、2241、2248、2260、2262、264、5271527、1528、5326、2450A、2150L、HT600
滚动码常见型号:HCS101、HCS200、HCS301等
滚动码不能通过简单的复制射频信号来进行重放解锁
晶振 就是上图2 最后边黑色模块
晶振频率
如:315、433等 且一定要对应
根据上图可知:型号为:BO1 对应为433频率
3、随着智能化发展,越来越多的高级电动车支持无钥匙启动、APP启动等功能 如 9号 太贵了... 缺乏设备
三、准备
需要准备的物料:
1、电动车一辆,流行品牌即可 近几年生产
2、Filpper Zero设备一个【当然可以用其他类似设备代替】
3、电动车微波射频发射器一个【钥匙】
4、拆解钥匙工具【轻薄适手工具即可 随意】
5、高流明手电筒一个【芯片数字太小真的看不清】
6、高清手机拍照一部
ps:4 - 6 不是必备项,可通过Filpper Zero扫描模式解决
4、验证
1、根据flipper wiki可知,本次实验需要Sub-Ghz模块
2、需要截取钥匙解锁键信号
3、打开flipper设备、选择Sub-Ghz模块
4、选择调频模式下,修改对应的频率,如 433
4、选择Read读取
5、保存 截取信号后,右键 Soue,可以重命名更改指令名
6、信号指令保存成功后 进行实验 选择Sub-Ghz模块,选择Soued 保存过的指令
7、解锁 J 解锁、L 锁
8、选择第一项 Emulae
9、发送解锁指令
10、验证成功
Video:VCR实况演示
Ref:
https://docs.flipper.net/sub-ghz
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):Filpper Zero解锁电瓶车初探
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论