这是一个创建于 2636 天前的主题,其中的信息可能已经有所发展或是发生改变。
前一阵子搬了新办公室,新办公室的门禁系统用的是遥控器来选泽门工作的模式,有四个:
- 开
- 关
- 自动(根据有没有人在门前)
- 密码 /刷卡
于是乎,搬出家里的 Infiniium S 示波器,从物业那里借来了遥控器,抓了一下通信。
可以看出,Carrier 是 315Mhz,然后用了简单的 OOK 进行编码。
保存了单次的结果成 reference,然后再次按同样的按钮,得到的竟然是同样的波形! WTF !竟然不是 rotate key。这样的话谁只要抓到就可以获得控制权,太不安全了吧。
接下来把四个模式的信号都抓下来,复制到电脑上去分析。
然后假设短是 0,长是 1,把波形转换成 0 和 1 大概是这样的。
可以看出,信号前 16 位应该是类似门 ID 之类的东西,后 8 位是模式,最后一位一直是一样的(也可能是校验位)。一共 25 位。
然后写了个程序把 0 和 1 写成了二进制文件,画了个 GRC 流程,用 Ettus USRP 直接发射,就把门搞定了。
这栋楼里其他楼层也是一样的门禁系统,我只要穷居一遍 ID (小于 2 小时)就可以把剩下所有的门全部打开。其他外来人员想要攻击直接等物业用遥控器的时候用 GRC 抓一下信号,直接重放就可以搞定门禁了。
我记得汽车行业应该已经完全没有这种静态 KEY 的系统了吧,怎么别的行业不从汽车行业吸取点教训呢。
 | 1 qq316107934 2018-07-23 03:43:48 +08:00 via Android 公司门禁滚码的话你就知道头疼了...不方便复制和移植到手机,当然我说的是 RFID,和红外差不多,只不过频率和携带的数据量不同。 |
 | 2 kokutou 2018-07-23 06:41:24 +08:00 via Android 先抓几周包,然后整理一下,全天候随机重放,要不了多久你们就能换一下了。 |
 | 3 t6attack 2018-07-23 06:56:33 +08:00 我们楼的门禁,楼下小超市 10 块钱一个。 |
 | 4 haimall 2018-07-23 07:03:24 +08:00 via Android 你太认真了。 我们小区的门禁系统,用手敲两下就开了。。 |
 | 5 loading 2018-07-23 07:15:07 +08:00 via iPhone  3 楼上似乎都误解了,楼主说的不是密码那个模式。而是: 这个门禁系统的弱点是那个切换工作模式的遥控器。 可以直接用遥控器开门。这个遥控很容易破解。 |
 | 6 xiashali 2018-07-23 07:37:29 +08:00 13 你这个赤裸裸的炫富。搬台示波器我理解,直接拿钱出来什么鬼 |
 | 7 gaupen1186 2018-07-23 07:40:21 +08:00 via Android @xiashali 他这个示波器才是炫富 |
| 8 xiashali 2018-07-23 08:04:51 +08:00 @gaupen1186 #7 你不知道他有多少台安捷伦 |
 | 9 wowo243 2018-07-23 08:19:06 +08:00 via Android 省成本呗 |
 | 10 7654 2018-07-23 08:24:27 +08:00 1 安全就是个笑话 |
 | 11 zhujinliang 2018-07-23 08:33:56 +08:00 via iPhone 第一行,用遥控器来选什么? |
 | 12 qsun 2018-07-23 08:35:20 +08:00 高帅富楼主的这个安捷伦几钱买的? |
 | 13 lty1993 OP @zhujinliang 选择门的工作模式,常开 /长闭 /感应 /密码 |
 | 17 sennes 2018-07-23 10:12:43 +08:00 GNU Radio 的东西也不便宜  |
 | 18 maichael 2018-07-23 10:48:45 +08:00 图全部挂了。 这种就是典型的防君子不防小人。 |
 | 20 Kirscheis 2018-07-23 11:00:54 +08:00 via Android 太正常了,国内这些小公司做出来的东西,能用就已经是他们的极限了 我这大多数门禁干脆就是空白 rfid 卡的序列号直接当密码,而且不能挂失 |
 | 21 DennyDai 2018-07-23 23:03:22 +08:00 via Android 又有钱又大佬 |
Select Language