新手指南：如何使用c118+osmocombb进行短信嗅探实验
九：扫描基站信息
打开新的终端还是在osmocom-bb目录
$ cd src/host/layer23/src/misc
$ sudo ./cell_log -O
$ sudo ./ccch_scan -i 127.0.0.1 -a ARFCN
ARFCN就是上面图圈出来的那个值,列如
$ sudo ./ccch_scan -i 127.0.0.1 -a 59
十：安装wireshark
打开新的终端
$ sudo apt-get install wireshark
$ sudo wireshark -k -i lo -f 'port 4729'
在filter输入 gsm_sms
接下来静静的等待吧。。。
最后，自己玩去吧。。
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】利用kali嗅探周围发送的短信_南春中学吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：2,429贴子：
利用kali嗅探周围发送的短信收藏
一楼不给看，为宣传南春中学极客科技社。有兴趣的同学近期将会有一次招新~~
设备清单：摩托罗拉 C118 (25块)FT232RL USB TO TTL (30元)摩托罗拉 Motorola C118专用数据连接线 (10块)MiniUSB 链接线(10元，这个大家手里应该都有)如图
外围设备是上面那些，现在还需要一台PC以及装有Linux操作系统的虚拟机，当然PC上面直接装的linux更好还有一个主角：OsmocomBB这里稍微介绍下OsmocomBB，OsmocomBB是GSM协议栈(Protocols stack)的开源实现，全称是Open source mobile communication Baseband.目的是要实现手机端从物理层(layer1)到layer3的三层实现。但是目前来看，真正的物理层(physical layer)并没有真正的开源实现，暂时也没看到实施计划。只有物理层控制。因为真正的物理层是运行在baseband processor的DSP core上,涉及到许多信号处理算法的实现，而且还要牵扯很多硬件RF的东西。额好吧，上面这段OsmocomBB介绍文字来自百度~~我自己的实验环境为：os x 10.9 + VirtualBox + Ubuntu 12.04 (32位)操作系统各个平台都无所谓，我想大多数都用虚拟机来测的，所以建议使用Ubuntu 12.04 至少按照我这里介绍的做下来应该不会出错。虚拟机里面如何安装Ubuntu 12.04我这里几不操作了，网上教程一大堆。首先我们安装交叉编译环境：1. 用户目录下建立source/arm2. 进入arm目录再创建三个目录 build、 install 、src3. 进入src目录分别下载这三个文件包：
4. 下载 gnu-arm-build.2.sh 文件到arm目录目录结构如图所示：
编译前需要安装相应的库文件执行如下命令：1sudo apt-get install build-essential libgmp3-dev libmpfr-dev libx11-6 libx11-dev texinfo flex bison libncurses5 libncurses5-dbg libncurses5-dev libncursesw5 libncursesw5-dbg libncursesw5-dev zlibc zlib1g-dev libmpfr4 libmpc-dev安装完在arm根目录执行如下命令:1chmod +x gnu-arm-build.2.sh ./ gnu-arm-build.2.sh解释下这两条命令的意思，chmod +x 是给与 gnu-arm-build.2.sh 可执行权限 ， ./ gnu-arm-build.2.sh 是执行它执行 gnu-arm-build.2.sh后会提示你是否继续，ctrl+c 则取消，直接回车。如下图所示：
完成后会看到arm/install目录结构如图所示：
我们需要将 arm/install/bin目录加入环境变量中，注意这里最好直接填写绝对路径获取绝对路径命令，在arm/install/bin目录下执行pwd命令。如下图
加入环境变量的方法用vi打开 ~/.bashrc 在最后一样加入 export PATH=$PATH:/home/creturn/source/arm/install/bin注意$PATH:冒号后面接的是你自己的绝对路径，有的同学不会用vi的话我就把具体命令写出来1cd 回车 #切换到主目录 vi ./.bashrc #打开文件 shift+g #按shift和g 跳转到最后一样 o #输入小写字母o换行并进入插入模式，然后把上面需要加入的代码加入进去 esc # 按esc键进入命令模式 :wq #按冒号然后输入回车编辑完成为照顾linux新手对写点东西，汗~~重新打开终端或者直接执行source ~/.bashrc 让环境变量生效在终端中输入arm然后按tab键，如果出现 arm-开头的如下图所示就说明编译环境搞定了：
(•̀⌄•́)累得半死我们终于把编译环境搞定，剩下的明天再来~~23333
囧咂，写得不错，虚拟机大法好，我用乌班图12.04好像有点卡→_→，
文科生表示一笑而过
加入贴吧妹子团获得,
好像很厉害的样子
来支持囧哥
我和你之间隔的不是距离而是次元
但是我看不懂
(•̀⌄•́)我们继续~~
接下来下载 OsmocomBB 源码在source目录下执行下面两条命令：1git clone git://git.osmocom.org/osmocom-bb.git git clone git://git.osmocom.org/libosmocore.git先编译osmocom核心库文件,进入libosmocore 执行如下命令：1autoreconf -i ./configure make sudo make install然后进入osmocom/src下目录git checkout –track origin/luca/gsmmap 切换到这个分支执行make命令如果不出意外你所需软件环境和固件都编译好了。Ubuntu12.04 默认能够识别FT232R所以不用装驱动。接下来链接硬件， FT232RL USB TO TTL 和 摩托的数据线链接注意上面对应的标识接入GND、RX、TX 所以不用担心接错，我也第一次摸板子。链接完成后需要注意，如果链接正常下载板上面的蓝色的灯和红色的灯都要亮，不然肯定是接触不良，我之前由于接触不良导致固件写入一半就会停止，或者包其他错误。所以这里需要特别注意。插入硬件后在虚拟机菜单中把接入下载板子的usb接口分配给虚拟机如图：
在终端中输入lsusb 如果驱动正常就能看到usb-serial看下分配前和分配后的区别如下图：
接下来我们写入固件到手机中，这里需要说明的一点，很多人说是刷入固件，导致很多人误认为是刷机，其实只是把固件加载到手机raw中执行而已，所以也不要担心输入固件后手机就不能用了。切换到 osmocom-bb/src/host/osmocon/目录 执行如下命令：1/osmocon -m c123 -p /dev/ttyUSB0 ../../target/firmware/board/compal_palram.bin这里同样需要说明下有的 -m 后面接的是 c123xor 区别是是否检测数据总和注意上面命令需要在关机下执行，然后短按开机键，注意不要长按不然就开机了如果不出意外就能看到如下图：
这里需要提醒下，由于买的手机都是二手的，所以接口处有可能会有松动，所以如果看到数据写入被取消就多试几次调整下接口看看是否有松动，我机会每次都要试4-5次才能正常写入固件，看到staring up 基本就成功了，同事可以看到手机上面也显示了 Layer 1 osmocom-bb 字样（这手机黑宝有T_T ）
1接下来在 /osmocom-bb/src/host/layer23/src/misc/ 目录执行 ./cell_log输出日志信息，在里面可以看到基站信息找到类似信息cell_log.c:248 Cell: ARFCN=117 PWR=-62dB MCC=460 MNC=01如下图：
记住ARFCN后面的编号然后在同样目录下输入下面命令把数据流导入本地4729端口1./ccch_scan -i 127.0.0.1 -a 117 # 注意这里的117就是上面的ARFCN后面的编号如下图：
接下来用wireshark 抓包，输入如下命令：1sudo wireshark -k -i lo -f 'port 4729'然后在wireshark里面过滤gsm_sms协议数据，里面就包含了短信数据
虽然不知道是什么鬼。。。但还是顶顶　　　～～～我不会删你的帖，也不会封你的号，不是为了什么言论自由，我没那么伟大。只是因为……我特么不是吧务。
太长不看，仍然帮顶。
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或这项已经出来很久了，网上各类大神的文字教程也很多，但是对于新手在编译过程中总有许多的问题，所以我把整个安装过程及可能出现的问题和解决方法写出来。
我用的是12.04-i386（其实kali也可以）
一：更新系统
右上角进入更新，修改更新源（当然也可以命令修改vi /etc/apt/sources.list）
点击settings
里面找到download from 修改自己国家的更新源
然后保存退出即可
现在打开终端
$ sudo apt-get $ sudo apt-get upgrade
二：接着安装一系列依赖
$ sudo apt-get install libusb-0.1-4 libpcsclite1 libccid pcscd$ sudo apt-get install libtool shtool autoconf git-core pkg-config make gcc build-essential libgmp3-dev libmpfr-dev libx11-6 libx11-dev texinfo flex bison libncurses5 libncurses5-dbg libncurses5-dev libncursesw5 libncursesw5-dbg libncursesw5-dev zlibc zlib1g-dev libmpfr4 libmpc-dev libpcsclite-dev
（不要嫌多。。直接复制）
三：创建几个目录，下载ARM
$ mkdir osmocombb$ cd osmocombb$ mkdir build install src$ wget http://bb.osmocom.org/trac/raw-attachment/wiki/GnuArmToolchain/gnu-arm-build.3.sh$ cd src$ wget http://ftp.gnu.org/gnu/gcc/gcc-4.8.2/gcc-4.8.2.tar.bz2$ wget http://ftp.gnu.org/gnu/binutils/binutils-2.21.1a.tar.bz2$ wget /pub/newlib/newlib-1.19.0.tar.gz
四：安装gnu-arm-build.3.sh
$ cd ..$ chmod +x gnu-arm-build.3.sh$ ./gnu-arm-build.3.sh
看到这里直接回车即可（过程非常漫长，建议可以看个电影先。。）
五：安装完过后添加环境
$ cd&install/bin$ pwd（查看路径）$ vi ~/./.bashrcexport PATH=$PATH:/osmocombb/install/bin
(最后一行加入,保存退出)
$ source ~/.bashrc
六：下载并编译osmocomBB
回到osmocombb目录下载osmocom
$ git clone git://git.osmocom.org/libosmocore.git$ git clone git://git.osmocom.org/osmocom-bb.git
在安装libosmocore执行./configure 的时候很多人会遇到&No
‘talloc’ found 这种错误，因为找不到talloc，下面是解决办法
$ wget&https://www.samba.org/ftp/talloc/talloc-2.1.7.tar.gz$ tar -zxvf talloc-2.1.7.tar.gz$ cd talloc-2.1.7/$ ./configure$ make$ sudo make install
安装libosmocore
$ cd libosmocore/$ autoreconf -i$ ./configure&$ make$ sudo make install
编译osmocombb
$ cd&osmocom-bb$ git checkout --track origin/luca/gsmmap$ cd src$ make
七：修改问题文件（如果你是gnu-arm-build.2.sh并且没有出现cell扫描不动的问题，请跳过这一步）
进入osmocom-bb找到这些文件并修改他们
vi&osmocom-bb/src/target/firmware/board/compal/highram.lds
vi&osmocom-bb/src/target/firmware/board/compal/ram.lds
vi&osmocom-bb/src/target/firmware/board/compal_e88/.lds
vi&osmocom-bb/src/target/firmware/board/compal_e88/loader.lds
vi&osmocom-bb/src/target/firmware/board/mediatek/ram.lds
找到里面的这一串代码
KEEP(*(SORT(.ctors)))
在下面加入
KEEP(*(SORT(.init_array)))
保存即可，全部修改好，在进入osmocom-bb/src重新编译一下
$ make -e CROSS_TOOL_PREFIX=arm-none-eabi-
八：插~入你的118刷入固件
还是在osmocom-bb目录
$ cd src/host/osmocon$ sudo ./osmocon -m c123xor -p /dev/ttyUSB0 ../../target/firmware/board/compal_palram.bin
回车出现这样等待的时候按一下你c118的开机键，按一下就可以
如果这样是刷入失败，看一下你的c118连接线，如果你是买的新建议把线插紧一点。。最好把壳拆下来
九：扫描基站信息
打开新的终端还是在osmocom-bb目录
$ cd src/host/layer23/src/misc$ sudo ./cell_log -O
$ sudo ./ccch_scan -i 127.0.0.1 -a ARFCN
ARFCN就是上面图圈出来的那个值,列如
$ sudo ./ccch_scan -i 127.0.0.1 -a 59
十：安装wireshark&
打开新的终端
$ sudo apt-get install wireshark&$ sudo wireshark -k -i lo -f 'port 4729'
在filter输入 gsm_sms
接下来静静的等待吧。。。
最后，自己玩去吧。。
如果还有疑问可以参考以下视频：
* 作者：diulei，转载须注明来自FreeBuf黑客与极客GSM短信窃听解决方案设计与实现
不安全的GSM
&&&&& GSM是当前应用最广泛的移动通话标准，在中国大陆，中国移动和中国联通的2G网络也是使用的GSM。随着技术的发展，GSM的安全漏洞已被安全研究人员发现。现阶段对GSM进行攻击已经不是什么新鲜事了，国外早已有对GSM进行嗅探和伪装GSM基站的开源项目。
&&&&& 在国内，针对GSM的攻击手法已经出现，我们所知的主要有伪造基站发送垃圾（或诈骗）短信、GSM数据窃听。
&&&&& 下图是伪基站发出的伪造的工行号码95588的诈骗短信：
&&&&& 下图是某地发现的伪基站装备：
&&&&& 能监听到GSM短信的硬件设备成本不超过30元（你没看错，硬件就是一个摩托罗拉C118手机），如下图：
&&&&& 由此可见，实施GSM攻击的成本已经很低，目前我们看到已有人利用GSM的问题来实施攻击了。在深圳， TSRC的小伙伴们都在不同区域遇到过伪基站发的广告短信；微博上也有小伙伴反映北京也遇到类似情况。未来低成本的GSM攻击可能会被广泛利用。
&&&&& 伪基站发送广告短信是一种攻击方式，还有一种是监听短信内容。这种嗅探是静默的，更不容易被发现。
&&&&& 我记得曾经有人问过怎么发现自己有没有被监控。还是有办法，我们给监控者挖一个坑：通过信道给自己发个信息，某某网站有秘密文件，登录用户名密码明文写上。然后在我们部署的蜜罐网站看有没有人拿这个用户密码尝试登录就知道了。
&&&&& 在一些业务场景下，这种GSM短信监听的威胁较大。比如某些团购业务的兑换码就是通过短信发送给用户的；发工资当天的银行短信会暴露你的工资；部分在线支付的验证码是通过短信下发的；&&&&即使是给MM发的短信被人偷看也是件很不爽的事。
&&&&& 企业和个人，怎么规避GSM带来的安全风险呢？
解决方案设计
&&&&& 要解决GSM安全问题，根源还是要靠运营商大力打击伪基站和GSM传输加密，基于目前的现状来看，这个方案还有一段路要走。
&&&&&& 还有一个简单的方法就是彻底摒弃GSM改用3G&&这个涉及到一个3G的普及问题。当然，攻击者也可以有办法屏蔽或干扰3G信号，这时候手机就会自动转为2G（移动联通的2G就是GSM），仍然会受到影响。中国电信的2G不是GSM而是CDMA 1X，不受GSM安全影响。改用电信号码？这是因噎废食的办法，不推荐。
&&&&&& 对于嗅探GSM短信这种攻击方式，我一直有一个想法（现在终于实现了demo）：既然GSM传输层靠不住，那我们在应用层自己加密。所以解决方案说起来就很简单了，就在手机里装一个APP，用于对发出的短信内容进行加密。嘿嘿，这样不仅攻击者，就连运营商也没法窃听了。通话加解密实现比较复杂，就不在讨论了。
&&&&&& 点对点的短信，双方都装一个APP，由这个APP对发出和接收到的短信用双方约定的密钥进行加解密，这样传输过程中的短信是密文，只要算法和密钥不被攻击者知道，就可以高枕无忧了。
&&&&&& 点对云的短信，不仅需要用户装APP，还需要后端服务器改造支持。比如通过1065XXXXX给用户发送团购凭证，这个短信发送前就加密，用户手机端需要安装一个专用APP来解密，这就保证了凭证即使被捕获攻击者也没法使用&&这也会增加成本，需要有一个专有的APP，或许这个功能可以整合到一个通用的APP产品里（手机安全类产品可以考虑下哦）。
&&&&&& 当然，这个也可以完全摒弃短信这个通道，而用一些流行的APP平台（如微信公众账号）或者以自己的APP实现。
&&&&&& 对于伪基站的问题，应用层暂时没有好办法，这个还在研究中。
解决方案实现
&&&&&& 我们在android上实现了这样的一个点对点的APP，采用AES算法加密，双方线下交换密钥（这个demo我们把密钥写在APP里，省略了密钥交换流程），然后就可以互发加密的短信了。
&&&&&& 关键代码片段如下：
private static byte[] encrypt(byte[] raw, byte[] clear) throws Exception
SecretKeySpec skeySpec = new SecretKeySpec(raw, &AES&);
Cipher cipher = Cipher.getInstance(&AES&);
cipher.init(Cipher.ENCRYPT_MODE, skeySpec);
byte[] encrypted = cipher.doFinal(clear);
&&&&& 下面就是在系统自带的短信程序里看到的加密后的内容（传输中如果被人截获，他就只能看到这一串没有意义的字符串）：
&&&&&& 然后是通过我们的APP解密后：
&&&&& 怎么样，来体验一下吧。这个APP（姑且叫做&SMS密使&吧）已经在腾讯安全应急响应中心官网的实验室栏目发布，，欢迎大家体验。由于时间仓促，界面、功能、用户体验都不好，请多多包涵。
&&&&&& 本文仅是我们对GSM短信窃听的一种尝试解决方案，欢迎感兴趣的同学与我们探讨。更多安全相关的技术研究，欢迎关注&腾讯安全应急响应中心&（
&&&&& 同时也非常感谢腾讯安全中心&GSM安全研究&项目组的其他成员popey、HuangJacky和riusksk的工作。
&&&&& 关于GSM安全的更多分享，且听下回分解。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'1680人阅读
gsm sniffer（1）
参考资料，向前辈致敬：
http://le4f.net/
1. C118不替换滤波器也可以收到上行，只是比较少，周边几十米范围吧。暂时没有合适工具，的确不太好拆屏蔽罩。
2. 某宝上购买C118时，可以不要电池和充电器，用usb口5v直接供电就行。最便宜15一个。可以先买一个试试，测试好使了再买，不好使损失也不大。
3.ft232模块我只试了某猫上某28 一个的，比手机都贵，把usb大口拆掉，可以直接塞到手机电池仓里。后来发现还有带线的，价格也不贵，不过没试，不知道效果如何。
4. 一开始用vbox虚拟机安装kalilinux1.10a，运行一会儿后程序好像就自己停止了。据说是vbox的usb口通讯实现有问题。后来改用vmware，好多了，但也是几个小时后就自动停止，参考一只猿前辈的分享（/?action=show&id=23），打上补丁后问题解决了，连续运行了几天没断过。
5. Sword soul和猿前辈做了web界面，一定要试试，效果帅呆(，猿不提供下载了，可以试试这个php版本：/le4f/gsmsniff?files=1)。可以自己加个号码归属地功能，网上有的是归属地的mysql建表脚本。
smsweb界面最新版更新：
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：10947次
排名：千里之外
原创：31篇
转载：12篇
评论：13条
(4)(5)(3)(6)(1)(2)(12)(1)(3)(5)(1)(1)(1)