SDR软基站在漏洞挖掘领域的高级进阶应用

17年写的使用OpenBTS基站测试物联网模块当时因为一些原因，中断了这方面的一些研究。

后面因为在工作中继续接触了2G/GSM、3G/UMTS以及4G/LTE的一些开源项目，然后慢慢意识到：开源基站在研究领域的用途不单单限于对IoT智能硬件GPRS流量的劫持这一方面。

蜂窝网络方面，像智能水表、智能电表以及共享单车，它们都是加入了一些联网模块。这些IOT设备，由于它们对于网速要求不是很高，另外厂商为了要控制成本，所有通常采用2G GSM模块的解决方案。

而硬件开发者普遍会过于依赖、过于相信运营商的蜂窝网络管道，觉得通信流量很难被劫持，所以导致在实际运用中终端模块与云端通信不走加密直接明文通信。

因为2G是单向鉴权，所以导致2G网络中的设备很容易被劫持，下面这幅图演示的就是通过OpenBTS+USRP实现一个小型的2G基站，并劫持了一款智能水表，劫持之后所有的设备流量都会经过我这台电脑，而不是运营商的基站。

腾讯科恩实验室 基带利用：远程5G智能手机代码执行 | Over The Air Baseband Exploit: Gaining Remote Code Execution on 5G Smartphones

解读：https://keenlab.tencent.com/zh/2021/08/06/BlackHatUSA2021-over-the-air-baseband/

白皮书：https://keenlab.tencent.com/zh/whitepapers/us-21-Over-The-Air-Baseband-Exploit-Gaining-Remote-Code-Execution-on-5G-Smartphones-wp.pdf

RCE漏洞在Shannon基带的IMS模块，基带在解析SIP协议消息的XML内容时，它会调用函数IMSPL_XmlGetNextTagName，该函数通过跳过特殊字符来查找标签的结尾，而没有安全检查，通过溢出缓冲区，控制存储在栈上的返回地址，并获得代码执行。

通过Kamailio自建IMS核心网、SRSRAN 或者OAI USRP+Osmocom sim card实现蜂窝网络模拟实验环境，UE终端注册并订阅到SIP服务器，服务器将发送NOTIFY消息以提供网络中的基本信息，在NOTIFY消息中夹带XML格式的漏洞利用payload。

二 Pwn华为麒麟芯片基带

西班牙TASZK安全实验室 How To Tame Your Unicorn Exploring And Exploiting Zero-Click Remote Interfaces of Huawei Smartphones | 零点击交互远程破解华为智能手机

白皮书：https://i.blackhat.com/USA21/Wednesday-Handouts/US-21-Komaromy-How-To-Tame-Your-Unicorn-wp.pdf

PPT：https://i.blackhat.com/USA21/Wednesday-Handouts/US-21-Komaromy-How-To-Tame-Your-Unicorn.pdf

华为公开了搭载麒麟980、970设备的内核源码，西班牙TASZK安全实验室通过源代码审计在GSM信令消息编码解码的语法CSN.1上发现了内存越界漏洞

通过Osmocom2G基站以及OsmoMSC发送Payload利用代码去触发相关漏洞：

通过空中接口无接触Pwn基带，非常考验综合实力，相关方面涉及通信（2G 3G 4G 5G等蜂窝网络技术以及3GPP协议标准） 二进制逆向（固件提取、解密、漏洞利用）等。而且对相关方面要求特别高，个人感觉没有长期的技术积累、团队协作，靠一个人单打独斗很难实现。