玩爆EDUP智能插座(Part1)
智能插座实现了远程开启/关闭连入的设备,的确是一款懒人神器!其实现原理就是通过WiFi模块实现对继电器的开启或者关闭。EDUP智能插座通过用户提供的凭证连接家庭无线网络访问互联网。一切都设置完成之后,智能插座打开TCP/IP连接到位于中国的服务器(219.147.29.235:221)。
物理层
首先,我们准备了一些小螺丝刀和一把瑞士军刀,接着我们小心的打开智能插座,拆开图如下:
通过谷歌搜索我们了解到设备的主件:一些被动组件,一个5Mhz的晶体振荡器,一块没有打上印记的芯片(个人猜测为PIC16C770),一个2K数据存储器、继电器、WiFi板……
虽然我个人对于集成电路逆向工程的相关知识不够了解,但是我们所做的工作并非白做。至少我们对于这款智能插座设备更加了解,每一个细节都有助于我们全面的了解这个系统。
网络层
我们利用hostapd程序进行一些测试。为了阻止设备进入内部网络,我们添加了一些防火墙规则,并且在设备内存中设置访问凭证。
启动运行之后,我们可以通过EDUP提供的安卓App切换继电器,通过Nmap我们看到有两个开放的端口:TCP/23 (telnet) 和 TCP/80 (http)。
我们尝试连接telnet,这里有一个简单提示输入密码。我们谷歌搜索“AT + command Shell”,我们发现WiFi模块实际上是一块低成本的WIFI UART,编号为 TLG10UA03。然后我们通过默认的密码成功访问AT命令终端,并且我们还发现了一份技术文档,包括了我们在后面会有使用的AT命令清单。 链接: http://pan.baidu.com/s/1eQ6ezSI 密码:rbqn
如果你对这个点足够好奇,你可以使用一些AT命令来熟悉这个命令终端。
这里暴露了大量智能插座信息:
传输层
下面,我们将对设备如何进行工作以及其组成元素进行讨论。我们可以捕获网络访问点接口流量,并分析服务器和设备之间的数据传递。
协议很简单,大致如下:
1.协议开始
一旦TCP信息交换完成,服务器会Push一个携带15字节有效载荷的TCP段并激活URG flags。
用户确认第一段之后,发送另外两个分别为28字节和22字节的数据包,同时PSH和URG也被激活。
此时此刻,已经成功建立连接,并且用户通过发送所谓的Keep-Alive包进行响应。
2.保持连接
正如前面所述,客户发送这类段来提醒服务器设备依旧存活着。如果我们断开连接,或者设备休息的时候。每隔30秒就会发送一个Keep Alive包,且每个包中载荷都相同,这样服务器就承认其状态。如果没有,客户端就会被假定是失去联系,并尝试重新开始一个会话。
3.命令:On,Off
建立会话后,服务端确认客户端保持连接,然后服务端就可以发送命令给客户端,执行中继器的激活或者停止。
经过把玩一段时间,我了解到:
1、前两个字节(0xFF, 0xFF)可能为某种开始标记或者头,每个数据段都是由这两个字节作为开头。
2、接下来的这个字节(0×00)表明了协议版本
3、第四个字节(0×15)表明了有效载荷的长度。如图, 0×15 = 21,也就是总字节数
4、对于后面6个字节的含义我不太清楚,我猜测可能是编码的时间戳,或者是一个校验和
5、接下来的两个字节总是 0×09, 0×00。同样我也没搞明白是什么含义。
6、再后面的6个字节是客户端的MAC地址
7、接着后面两个字节固定为0×02, 0×80
8、最后一个自己似乎是命令本身:0×80代表ON命令,0×00代表Off命令。
下期预告
接下来,我们将看到模拟服务端,控制设备。敬请期待!
*参考来源 n0wblog ,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
