歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

QCSuper:在高通手機貓上捕獲無線2G/3G/4G數據包

來源:本站整理 作者:佚名 時間:2019-08-05 TAG: 我要投稿

QCSuper是一種基于高通(Qualcomm)手機和調制解調器(俗稱“貓”)通信的工具,可以捕獲原始的2G/3G/4G無線電幀等數據內容。它允許你使用已root的安卓手機,usbdongle加密狗或其他格式的現有捕獲數據包生成PCAP文件。

安裝完成后,你可以將已root的手機插入USB,并執行以下命令來使用它:
./qcsuper.py --adb --wireshark-live
它使用的是高通Diag協議,也稱為QCDM或DM(診斷監控),以與手機的基帶進行通信。
如果你想要支持或報告你設備的工作情況,又或是想加入Diag協議的開發研究,那么你可以加入我們的IRC(Freenode的#qcsuper)或是打開Github issue。
安裝
QCSuper已在Ubuntu 16.04,18.04和Windows 7上進行了測試開發。它依賴于一些Python模塊。
想要使用它,你的手機必須root或通過USB暴露diag服務端口。為了檢查手機的兼容性,請在GSMArena等網站上查找手機的型號,并檢查它是否配有高通處理器。
想要打開QCSuper生成的PCAP文件,對于2G/3G幀你可以使用Wireshark 2.x的任何版本。但對于4G幀,你則需要至少Wireshark 2.5.x以上的版本(對于4G幀中解密的單個NAS消息則需要2.6.x以上))。Ubuntu目前已為所有版本提供了其最新版。
Ubuntu 和 Debian 安裝
打開終端并鍵入以下內容:
# Download QCSuper
git clone [email protected]:P1sec/QCSuper.git qcsuper
cd qcsuper
# Install dependencies
sudo apt install python3-pip wireshark
sudo pip3 install --upgrade pyserial crcmod https://github.com/P1sec/pycrate/archive/master.zip
Windows 安裝
在Windows上,你需要根據你的手機型號下載并安裝手機的USB驅動。沒有通用的方法,在Google上搜索你手機的型號 +“USB驅動(USB driver)”或“ADB驅動(ADB driver)”以獲取相關的說明。
然后,你需要確保你的設備可以使用adb進行訪問。你可以在此處找到有關如何下載和設置adb的教程。adb shell命令必須正常工作才能繼續。
然后,按照以下鏈接進行操作:
安裝Python 3.6或更高版本(請確保已將其包含到PATH中,并勾選install it for all users(系統用戶下所有用戶可啟動)并安裝pip)
安裝Wireshark 2.6或更高版本
下載并提取QCSuper
安裝所需Python模塊,請打開命令提示符并鍵入:
pip3 install --upgrade pyserial crcmod https://github.com/P1sec/pycrate/archive/master.zip
仍在命令提示符下,使用cd命令移動到包含QCSuper的目錄。然后你可以執行命令(啟動命令應為qcsupper.py,而不是/qcsupper.py)。
支持的協議
QSuper支持捕獲少量的移動無線協議。這些協議在GSMTAP Header之后,標準報頭(被封裝到UDP/IP中)允許識別協議,GSMTAP報文被放在PCAP文件中,該文件可以使用Wireshark進行分析。
2G/3G/4G協議可分為幾個“layers(層)”:layer 1數字無線電調制和多路復用,layer 2處理諸如分片和ACK等問題,layer 3是信令或用戶數據。
QCSuper允許在第3層捕獲,因為它是使用Wireshark進行分析最實用和有價值的,并且是Diag協議本身所提供的(這里有一些有趣的信息)。
2G(GSM):第3層及以上(RR/…)
2.5G(GPRS和EDGE):第2層及以上(MAC-RLC/…)用于數據確認
3G(UMTS):第3層及以上(RRC/…)
此外,它還支持在單獨的GSMTAP幀中重組SIB(系統信息塊,向所有用戶廣播的數據),因為Wireshark目前無法自行完成:flag –reassemble-sibs
4G(LTE):第3層及以上(RRC/…)
此外,它還支持將解密的NAS消息放入其他幀中:flag –decrypt-nas
默認情況下,你設備發送的IP流量不包括在內,你只能看到信令幀。你可以使用–include-ip-traffic選項包含你生成的IP流量(在2G/3G/4G中,IP幾乎不屬于數據流量的第3層,其頭部可能被壓縮(ROHC),并且可能包含一個很小的PPP報頭)。
你發送的數據流量使用與信令流量不同的信道,此信道通過信令流量建立;因此,QCSuper應向你顯示與此信道相關的所有詳細信息。
使用
使用QCSuper,你需要指定一個輸入(例如:–adb(Android手機),–usb-modem)和一個或多個模塊(–wireshark-live用于打開Wireshark,–pcap-dump用于寫入流量到PCAP文件,–info獲取有關設備的一般信息…)。
示例:
# Open Wireshark directly, using a rooted Android phone as an input
./qcsuper.py --adb --wireshark-live
# Same, but dump to a PCAP file instead of opening Wireshark directly
./qcsuper.py --adb --pcap-dump /tmp/my_pcap.pcap
# Same, but using an USB modem exposing a Diag serial port
sudo ./qcsuper.py --usb-modem /dev/ttyHS2 --wireshark-live
以下是QCSuper當前所有可用選項:
usage: qcsuper.py [-h] [--cli] [-v]
                  (--adb | --usb-modem TTY_DEV | --dlf-read DLF_FILE | --json-geo-read JSON_FILE)
                  [--info] [--pcap-dump PCAP_FILE] [--wireshark-live]
                  [--memory-dump OUTPUT_DIR] [--dlf-dump DLF_FILE]
                  [--json-geo-dump JSON_FILE] [--decoded-sibs-dump]
                  [--reassemble-sibs] [--decrypt-nas] [--include-ip-traffic]

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐