Sourcell Xu@海特实验室
bluescan 是一个由安恒信息 海特实验室安全研究员维护的一个开源项目
先前的蓝牙扫描工具都是零零散散,而且年久失修对吗?于是我们有了这个基于现代 Python 3 开发的强大蓝牙扫描器 —— bluescan。
在测试新的蓝牙目标时,该扫描器可以帮助我们做好情报收集工作,比如:
- BR 设备扫描
- LE 设备扫描
- SDP 服务扫描
- LMP 特性扫描
- GATT 服务扫描
- 漏洞扫描 (demo)
依赖
bluescan 在底层基于 Linux 官方的 BlueZ 蓝牙协议栈。如下依赖的包需要被安装:
sudo apt install libglib2.0-dev libbluetooth-dev
当在 Linux 虚拟机中使用该工具时,建议让虚拟机独占一个搭载博通或 CSR 芯片的 USB 蓝牙适配器,比如
Ostran 奥视通 USB 蓝牙适配器 OST-105 CSR 8150 v4.0 https://item.taobao.com/item.htm?spm=a230r.1.14.14.21b6705fm5gjj3&id=38948169460&ns=1&abbucket=6#detail
如果你想尝试下漏洞扫描 (demo),请参考
ojasookert/CVE-2017-0785 https://github.com/ojasookert/CVE-2017-0785
的 README.md 来解决依赖问题。
安装
最新的 bluescan 会被上传到 PyPI 上,因此执行如下命令即可安装 bluescan:
sudo pip3 install bluescan
功能和使用方法
$ bluescan -h
bluescan v0.1.1
A powerful Bluetooth scanner.
Author:SourcellXufrom DBAPP SecurityHatLab.
License: GPL-3.0
Usage:
bluescan (-h |--help)
bluescan (-v |--version)
bluescan [-i <hcix>]-m br [--inquiry-len=<n>]
bluescan [-i <hcix>]-m lmp BD_ADDR
bluescan [-i <hcix>]-m sdp BD_ADDR
bluescan [-i <hcix>]-m le [--timeout=<sec>][--le-scan-type=<type>][--sort=<key>]
bluescan [-i <hcix>]-m gatt [--include-descriptor]--addr-type=<type> BD_ADDR
bluescan [-i <hcix>]-m vuln --addr-type=br BD_ADDR
Arguments:
BD_ADDR TargetBluetooth device address
Options:
-h,--help Displaythis help
-v,--version Show the version
-i <hcix> HCI device for scan [default: hci0]
-m <mode>Scan mode, support BR, LE, LMP, SDP, GATT and vuln
--inquiry-len=<n>Inquiry_Length parameter of HCI_Inquiry command [default:8]
--timeout=<sec>Duration of LE scan [default:10]
--le-scan-type=<type>Activeor passive scan for LE scan [default: active]
--sort=<key>Sort the discovered devices by key, only support RSSI now [default: rssi]
--include-descriptor Fetch descriptor information
--addr-type=<type>Public, random or BR
BR 设备扫描 -m br
经典蓝牙设备可能使用三种技术:BR (Basic Rate)、EDR (Enhanced Data Rate) 以及 AMP (Alternate MAC/PHY)。由于它们都属于 Basic Rate system,因此在扫描这些设备时统称为 BR 设备扫描:
如上图,通过 BR 设备扫描,我们可以拿到周围经典蓝牙设备的地址、名称、类型以及 RSSI。
LE 设备扫描 -m le
蓝牙除了 Basic Rate system 就是 Low Energy (LE) system 了。当扫描周围的低功耗蓝牙设备时,称为 LE 设备扫描:
如上图,通过 LE 扫描,我们可以拿到周围低功耗蓝牙设备的地址、地址类型、连接状态、RSSI 以及 GAP 数据。
SDP 服务扫描 -m sdp
经典蓝牙设备通过 SDP 告诉外界自己开放的服务。通过 SDP 扫描,我们可以拿到指定经典蓝牙设备的 service record:
之后可以尝试连接这些 service,做进一步的安全测试。
LMP 特性扫描 -m lmp
探测经典蓝牙设备的 LMP 特性,可以让我们判断目标设备底层的安全特性:
GATT 服务扫描 -m gatt
低功耗蓝牙设备通过 GATT 告诉外界自己开放的服务。通过 GATT 扫描,我们可以拿到指定低功耗蓝牙设备的 GATT 数据。之后可以尝试读写这些 GATT 数据,做进一步的安全测试:
漏洞扫描 -m vul (demo)
漏洞扫描还处于 demo 阶段,目前仅支持 CVE-2017-0785:
$ sudo bluescan -m vuln --addr-type=br ??:??:??:??:??:??
......
CVE-2017-0785