--- title: 利用miio控制局域网内的小米智能设备 date: 2018-12-15 14:38:15 tags: - 小米 - miio - 中间人 - 重放攻击 categories: - IOT description: 局域网内所有的动作都在黑客的掌握之中吗? --- # 控制局域网内的IOT设备 ## 中间人攻击—流量分析 ### 使用Nmap分析局域网内设备,得到智能设备的IP ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323434/miio/1.png) 小米智能插座:192.168.31.197 网关:192.168.31.147(控制它的手机ip) ### ettercap嗅探智能设备和网关之间的流量 sudo ettercap -i ens33 -T -q -M ARP:remote /192.168.31.197// /192.168.31.147// ### wireshark抓包分析 ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323435/miio/2.png) 从图中可以看出,设备的命令控制包为UDP传输,既然是UDP协议传输,那么是否可以通过命令包重放攻击来对设备进行控制? 了解到在homeassistant中可实现对小米设备的集成,并在其中对设备进行管理和操作。Homeassistant,主要以Python语言开发,既然它能操控小米设备,那它底层肯定有相关的函数调用库。 为了可以消除对专有软件(米家app)的依赖,并能控制自己的设备,所以出现了MiIo。设备和米家app在同一局域网下使用的加密专有网络协议我们称之为MiIo协议。 Miio库支持的设备有: ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323434/miio/3.png) ## 小米IOT控制流程 在同一局域网中,小米设备可以使用专有的加密UDP网络协议进行通信控制。在网络可达的前提下,向小米设备发送hello bytes就可以获得含有token的结构体数据。之后,构造相应的结构体,并且以同样的方式发送给设备即可完成控制。具体流程如下: ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323435/miio/4.png) ## 设备Token的获取方式 小米设备的token获取有三种途径:miio获取、从米家app获取、从数据库获取 ### miio获取 在ubuntu下,先安装miio,然后发现设备: npminstall -g miio miiodiscover ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/5.png) 但是很可惜,很多设备隐藏了token,使用该方法可能无法获取到token或获取到的token不正确。 ### 米家app获取 这种方法需要的mijia app版本较老,且只对部分设备有效。 ### 从数据库获取token 这种方法仅在Mi Home 5.0.19之前的版本可用。 该方法是读取手机中米家的app中的数据记录来获取设备的token,具体步骤如下: - 准备一部获取root权限的安卓手机 - 安装米家app并登录账号 - 进入/data/data/com.xiaomi.smarthome/databases/ - 拷贝db,下载到电脑 - [前往网站](http://miio2.yinhh.com/),上传db,点击提交,即可获得token。 - 8894c73cbd5c7224fb4b8a39e360c255 ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/6.png) ## 脚本控制IOT设备 首先随意发送hellobytes获得时间和设备ID,token我们自己设置;然后构造发送的数据结构msg,cmd中的method包括:set_power(控制开关)、get_prop(获取状态),控制的params是[‘on’]/ [‘off’],获取状态的params是[‘power’, ‘temperature’] ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/7.png) 如果获得了token,就能对小米的设备进行操作,如图下面是返回的信息。 ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/8.png) ## 总结 从目前的智能家居市场来看,用户不会只使用单个智能设备厂商的设备,所以对于厂商来说,通过开放接口给用户一些局域网的控制“自由”,实现不同厂商设备的联动是一个不错的选择。 从另外一个角度,本文中体现的安全问题我们也不容忽视。如果在局域网中不经过认证就能获取物联网设备的访问凭证,并进而进行控制,无形中给入侵者留了一扇门。例如,攻击者可经过扫描互联网发现家庭路由器,并利用弱口令或设备漏洞获得路由器的shell权限,接下来就可按照文中步骤就可以获得设备token进而控制。好在小米已经在最新的miio版本中修复了这一漏洞,大大提高了攻击者获取token的难度。