逆向破解H.Koenig 遥控器 Part 2

逆向破解H.Koenig 遥控器 Part 2

到目前为止,我们已经知道了RF收发器的安装过程,下面是我们所掌握的东西 :

l 无线电收发器是一个Avantcom A7105

l 调制是FSK

l 频率偏差设置为186KHz

l 基本频率为2.40 GHz

l 在任何传输之前信道被设定为100

l 频道空间是500千赫

l 因此,工作频率为2.45 GHz

l ID是0×58 0x52 0xD2  0×41

l 带宽为500 kbps

l 分组8字节长

l 前导码4字节长

l 禁用CRC

l 禁用数据百花

l 禁用FEC编码

l 固件由于是进行了优化的收发器复位,因此绝对不适合 电源,且在每一个FIFO操作前安装完了!

下面是描述数据包格式收发器数据表的格式:

在本例中,根据我们所解码的,包的头部被限制到4个字节,随后是4个字节的ID码以及最后的8个字节的有效载荷(不进行编码,没有数据白化,没有CRC)。

好吧,现在对协议进行深层次挖掘。

首先,Hook我们最喜欢的逻辑分析仪的SPI总线,并尝试每一个按钮!遥控器图片如下:

有14个按钮,所以我们期待在14个不同的数据包发送。

事实上,对于每个按钮,当按下按钮时,遥控器发送分组而另一个就被释放,所以我们会得到28包。

MCU会在50ms和55ms之间等待,并在每个传输和发送“IDLE”到最后“按钮弹起”事件后的收发器的时间是55ms。

下面捕捉的画面,你可以看到,按下的按钮已发送3次,其次是数据包中的“发布”按钮。在右上角的数据包中,你可以看到两个传输之间的延迟是55ms。

如果你想知道最后的微小的跳变是什么,答案可以在这最后一张图片中找到 :

好了,等的够久了,下面是每个按钮的数据包。第一个是用于“ 向下 ”事件,而第二个表示一个“ 向上 ”事件。

“Thursday” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x01 0xF7

0xAA 0x00 0x03 0x49 0x00 0x00 0x11 0x07

“Full Go” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x02 0xF8

0xAA 0x00 0x03 0x49 0x00 0x00 0x12 0x08

“Wednesday” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x03 0xF9

0xAA 0x00 0x03 0x49 0x00 0x00 0x13 0x09

“Friday” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x04 0xFA

0xAA 0x00 0x03 0x49 0x00 0x00 0x14 0x0A

“Sunday” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x05 0xFB

0xAA 0x00 0x03 0x49 0x00 0x00 0x15 0x0B

“Monday” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x06 0xFC

0xAA 0x00 0x03 0x49 0x00 0x00 0x16 0x0C

“OK” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x07 0xFD

0xAA 0x00 0x03 0x49 0x00 0x00 0x17 0x0D

“Saturday” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x08 0xFE

0xAA 0x00 0x03 0x49 0x00 0x00 0x18 0x0E

“Tuesday” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x09 0xFF

0xAA 0x00 0x03 0x49 0x00 0x00 0x19 0x0F

“Red” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x0A 0x00

0xAA 0x00 0x03 0x49 0x00 0x00 0x1A 0x10

“Down” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x0B 0x01

0xAA 0x00 0x03 0x49 0x00 0x00 0x1B 0x11

“Left” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x0C 0x02

0xAA 0x00 0x03 0x49 0x00 0x00 0x1C 0x12

“Right” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x0D 0x03

0xAA 0x00 0x03 0x49 0x00 0x00 0x1D 0x13

“Up” button

0xAA 0x00 0x03 0x49 0x00 0x00 0x0E 0x04

0xAA 0x00 0x03 0x49 0x00 0x00 0x1E 0x14

可能已经注意到,只有最后的两个字节发生变化。

到目前为止,我们可以假设,第二到最后一个字节编码在低半字节和其状态的按钮(按下/释放)在较高的半字节。

我的猜测是,最后一个字节计算是针对上一个的(或者都是之前 的)。

但是,我们仍然丢失了一些东西。根据手册,有一个配对过程来与给定的远程机器人进行 工作:按下“OK”按钮并保持5秒钟,它仍按下 后,启动机器人。两声提示音(机器人发出),确认与 遥控器进行配对。

如果我们试图用我们SPI总线上的逻辑分析仪进行上述过程的话,我们在 前几秒钟(2.3秒)就能捕获到分组:

0xAA 0x00 0x03 0x49 0x00 0x00 0x07 0xFD

然后,分组更改为:

0x55 0x00 0x03 0x49 0x00 0x00 0x00 0xA1

因此,第一个字节是用来告诉机器人一些“代码”。不幸的是我没有其他遥控器来测试这个观点,机器人本身更难以采取APPART,来处理它的固件。但我 猜测可能是这样的:

1.第一个字节使能操作模式

2.下面的5个字节是遥控器的硬编码的序列号,该机器人会去自我配对

3.第二和最后一个字节编码按钮

4.最后一个字节是一种校验和(因为它们禁用内部CRC)。

这是第二部分。第三部分(也是最后一个部分)我们将建立一个计算机控制的遥控器。

时间: 2024-10-12 04:36:04

逆向破解H.Koenig 遥控器 Part 2的相关文章

20145331魏澍琛 《网络对抗技术》 PC平台逆向破解

20145331魏澍琛 <网络对抗技术> PC平台逆向破解 学习任务 1.shellcode注入:shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址. 2.Return-to-libc 攻击实验:即使栈有不可执行的能力,无法将shellcode放入堆栈中运行,但我们却可以直接让漏洞程序调转到现存的代码来实现我们的攻击. 注入Shellcode并执行 1.设置环境 2.以 anyt

Exp1 PC平台逆向破解(5)M 20154307 冯彬

Exp1 PC平台逆向破解(5)M 20154307 冯彬 本次只是做了部分实验,课上学习了手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数. 首先,我们先了解本次任务需要用到的代码 1.反汇编,将汇编语言转换成机器语言 `objdump -d 文件名 | more` 2.vi命令,进入文件编辑界面 vi 文件名 3.vi命令状态下的进制转换 ①将当前文本转化为16进制格式 :%!xxd ②将当前文本转化回文本格式 :%!xxd -r 4.vi状态下的查找 /查找的内容 5.

2018年3月 20155113徐步桥 EXP1-PC平台逆向破解

Exp1 PC平台逆向破解 1. 逆向及Bof基础实践说明 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串. 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell.正常情况下这个代码是不会被运行的.我们实践的目标就是想办法运行这个代码片段.我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode. 三个实践内容如下: 手工修改可执行文件,改

2017-2018-2 《网络对抗技术》 20155322 第二周 Exp1 PC平台逆向破解(5)M

2017-2018-2 <网络对抗技术> 20155322 第二周 Exp1 PC平台逆向破解(5)M 1-实践目标 1.1-实践介绍 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串. 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell.正常情况下这个代码是不会被运行的.我们实践的目标就是想办法运行这个代码片段.我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Sh

网络对抗技术 2017-2018-2 20152515 Exp1 PC平台逆向破解(5)M

PC平台逆向破解 实践内容1 直接修改程序机器指令,改变程序执行流程 知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具 学习目标:理解可执行文件与机器指令 进阶:掌握ELF文件格式,掌握动态技术 实践目标 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数. 实践步骤 首先让我们对pwn文件进行一个反汇编,可以看到文件中的是跳转到foo函数 让我们把文件转换成十六进制看一下 找到 d7 的位置 把 d7 修改为 c3 将

20155338《网络对抗技术》 Exp1 PC平台逆向破解

20155338<网络对抗技术> Exp1 PC平台逆向破解 实践目标 1.实践的对象是一个名为pwn1的linux可执行文件. 2.该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串. 3.该程序同时包含另一个代码片段,getShell,会返回一个可用Shell.正常情况下这个代码是不会被运行的.我们实践的目标就是想办法运行这个代码片段. 4.本次实践主要是学习两种方法: (1).利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发get

2017-2018-2 《网络对抗技术》 20155319 第二周 Exp1 PC平台逆向破解(5)M

2017-2018-2 <网络对抗技术> 20155319 第二周 Exp1 PC平台逆向破解(5)M 一.实践目标 1.1实践介绍 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串. 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell.正常情况下这个代码是不会被运行的.我们实践的目标就是想办法运行这个代码片段.我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何She

PC平台逆向破解实验报告(待补充)

PC平台逆向破解实验报告(待补充) 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串. 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell.正常情况下这个代码是不会被运行的.我们实践的目标就是想办法运行这个代码片段.我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode. 实践内容 手工修改可执行文件,改变程序执行流程,直接跳转到getShell

20155312张竞予 Exp1 PC平台逆向破解(5)M

Exp1 PC平台逆向破解(5)M 目录 实验内容 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数. 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数. 注入一个自己制作的shellcode并运行这段shellcode. 实验步骤及结果 问题及解决方案 参考资料 实验内容 实验知识概要 1.掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 通过反汇编指令objdump -d 20155312zjy查看可执行文件201