[技术]利用hackRF嗅探GSM网络流量+捕获器IMSI号

作者: hackliu 分类: 技术文章 发布时间: 2020-03-12 23:10

在本文中,我们将讲述如何使用hackRF嗅探GSM网络的特定频率信号,并能够获取到解码之后的GSM网络流量。系统基于ubuntu18.x

背景介绍

前段时间,当我的朋友兼同事Simone访问我们的ZIMPERIUM(一个企业移动安全TLV办公室)时,刚好手头上有一个HackRF,所以就和他一起尝试黑掉一个不设防的无线电频率设备。Simone很有耐心地尝试并向我解释复数以及其他无聊的东西(有关更多),通过一遍又一遍的努力,还是填补了跟上Simone步伐的这一缺口,并通过不断努力最终达到成功。本教程是我们共同进行GSM攻击的结果,在这里分享出来给大家,希望它能对别人有所帮助。

所用工具

1、hackrf-kalibrate

2、gnuradio-companion

3、gr-gsm

4、gqrx

5、wireshark

安装要求

首先,需要确保已经安装了所有必需的软件,可以使用发行版包管理器来安装大多数需要的软件以及相应的依赖文件。下面,我们先从hackRF所依赖的工具和库文件开始,在Debian或Ubuntu发行版上,可以通过下面指令安装它们:

sudo apt-get install hackrf libhackrf-dev libhackrf0

一旦成功安装这些库之后,就可以将hackrf插入到一个USB端口上,并执行指令hackrf_info,此时,应当会看到类似下面的内容:

# hackrf_info
 
Found HackRF board.
Board ID Number: 2 (HackRF One)
Firmware Version: 2014.08.1
Part ID Number: 0x00574746 0x00574746
Serial Number: 0x00000000 0x00000000 0x14d463dc 0x2f4339e1

接下来,通过下面的指令安装软件gnuradio,利用它可以解码射频信号,并安装工具gqrx,利用该工具可以将特定频率信号的功率可视化,以及一切需要的东西。

sudo apt-get install gnuradio gnuradio-dev gr-osmosdr gr-osmosdr gqrx-sdr wireshark automake

经过gr-gsm处理之后,GnuRadio模块会解码GSM数据包:

sudo apt-get install git cmake libboost-all-dev libcppunit-dev swig doxygen liblog4cpp5-dev python-scipy
git clone https://github.com/ptrkrysik/gr-gsm.git
cd gr-gsm
mkdir build
cd build
cmake ..
make
sudo make install
sudo ldconfig

现在创建文件~/.gnuradio/config.conf,并将下面的内容粘贴在该文件中:

[grc]
local_blocks_path=/usr/local/share/gnuradio/grc/blocks

最后,安装kalibrate-hackrf,它能够在已知的GSM频率之间跳动,并能够识别到你的国家所使用的频率:

git clone https://github.com/scateu/kalibrate-hackrf.git
cd kalibrate-hackrf
./bootstrap
./configure
make
sudo make install

确定GSM 频率

每个国家所采用的每个操作码都使用GSM频率段中的不同的频率,通常是从900 Mhz开始。你可以使用hackrf_kalibrate找到你想嗅探的频率:

./kal -s GSM900 -g 40 -l 40

注意上面的两个增益值,它们对于得到相应结果非常重要。让kalibrate运行一段时间,然后你应该可以看到类似下图所示的输出内容:

image.png

为了对应于当地的运营商,你必须使用适当的GSM参数(‘-s’),可以参考这个列表清单以确保正确。

有时候,为了确保hackrf_kalibrate获得了正确的结果,或者为了免于自己计算hackrf_kalibrate提供的正确频率(注意每个结果中的+/-Khz,它意味着峰值为对应的功率,但并不能100%确保为正确的频率),你可能需要查看一下获取的频率值。运行gqrx并将其调节到hackrf_kalibrate获得的第一个频率,例如942.6Mhz,那么接下来你将会看到如下图所示的画面:

image.png

在上面的截图中可以看到大约是942 Mhz。

一旦确定了GSM信道频率,那么就可以通过运行python脚本./airprobe_rtlsdr.py来启动gr-gsm,或者使用gnuradio-companion加载airprobe_rtlsdr.grc文件,然后在你所发现的频率带内设置其中一个信道频率。不过,不要忘记添加增益值,然后返回到频率带内,并按压你键盘上的上/下方向箭头开始以200Khz的步进值扫描频率,直到在控制台窗口上看到一些数据为止。整个过程看起来应该是这样:

14332026138763.png

现在你只需要利用下面的指令从另一个终端启动wireshark:

sudo wireshark -k -Y 'gsmtap && !icmp' -i lo

如果gr-gsm运行顺利,那么你将能够看到hackrf嗅探到的解码之后的GSM流量。

捕获器IMSI号

根据上文安装基础环境

IMSI为国际用户识别码(International Mobile Subscriber Identity)的缩写,是用于区分蜂窝网络中不同用户的,在所在蜂窝网络中不重复的识别码。IMSI可以用于在归属位置寄存器(HLR)和拜访位置寄存器(VLR)中查询用户信息,为了避免被监听者识别并追踪特定用户,有些情形下手机与网络之间的通信会使用随机生成的临时移动用户识别码(TMSI)代替IMSI。

IMSI由MCC(移动国家代码),MNC(移动网络代码)以及MSIN(移动用户识别代码)组成,一般为15位。

确定频率

如果安装了kalibrate-hackrf:

cd kalibrate-hackrfcd src
./kal -s GSM900 -g 40 -l 40

稍作等待,即出现下图所示情况

image.png

打开gr-gsm_livemon,选择刚刚获取的其中一个频率并进行微调,直到终端显示数据。

grgsm_livemon

image.png

如果没有装kalibrate-hackrf,那只能从一开始给的频率慢慢调了。

获取IMSI

切换目录

cd IMSI-catcher/

修改权限

chmod u+x simple_IMSI-catcher.py

运行

./simple_IMSI-catcher.py

稍等片刻,即可显示信息

打开wireshark可以查看更详细的信息

sudo wireshark -k -Y 'gsmtap && !icmp' -i lo

另:根据LAC和cellId可进行基站定位,点击这里进入定位网站

IMSI查询可以点击这里

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

一条评论
  • ruleaker

    2021年8月23日 22:36

    非常感谢 我是一名初二学生 对无线电技术很感兴趣 但是好像该类文章freebuf上的都删掉了 于是搜索到了您的文章。写的很清楚 虽然没有零花钱打赏支持 但还是忍不住发评论感谢一下您。但是我的资金和设备有限 并没有Debian系统的电脑。我尝试了用live盘的kali启动电脑可惜硬件太差太卡 连终端都启动不了,想请问一下您Windows环境下有没有能做相同研究的方法,如果有的话方便做一期教程文章吗? 再次感谢您的技术分享

发表评论

邮箱地址不会被公开。 必填项已用*标注