bakabtw/Cool-Y.github.io
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
64b5226ef0
Cool-Y.github.io/source/_posts/miio-control.md
Cool-Y 2671c3d6af lol
2021-04-11 03:18:56 +08:00

60 lines
4.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: 利用miio控制局域网内的小米智能设备
date: 2018-12-15 14:38:15
tags:
- 小米
- miio
- 中间人
- 重放攻击
categories:
- IOT
description: 局域网内所有的动作都在黑客的掌握之中吗?
---
# 控制局域网内的IOT设备
## 中间人攻击—流量分析
### 使用Nmap分析局域网内设备得到智能设备的IP
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323434/miio/1.png)
小米智能插座192.168.31.197 网关192.168.31.147控制它的手机ip
### ettercap嗅探智能设备和网关之间的流量
sudo ettercap -i ens33 -T -q -M ARP:remote /192.168.31.197// /192.168.31.147//
### wireshark抓包分析
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323435/miio/2.png)
从图中可以看出设备的命令控制包为UDP传输既然是UDP协议传输那么是否可以通过命令包重放攻击来对设备进行控制
了解到在homeassistant中可实现对小米设备的集成并在其中对设备进行管理和操作。Homeassistant主要以Python语言开发既然它能操控小米设备那它底层肯定有相关的函数调用库。
为了可以消除对专有软件(米家app)的依赖并能控制自己的设备所以出现了MiIo。设备和米家app在同一局域网下使用的加密专有网络协议我们称之为MiIo协议。
Miio库支持的设备有
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323434/miio/3.png)
## 小米IOT控制流程
在同一局域网中小米设备可以使用专有的加密UDP网络协议进行通信控制。在网络可达的前提下向小米设备发送hello bytes就可以获得含有token的结构体数据。之后构造相应的结构体并且以同样的方式发送给设备即可完成控制。具体流程如下
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323435/miio/4.png)
## 设备Token的获取方式
小米设备的token获取有三种途径miio获取、从米家app获取、从数据库获取
### miio获取
在ubuntu下先安装miio然后发现设备
npminstall -g miio
miiodiscover
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/5.png)
但是很可惜很多设备隐藏了token使用该方法可能无法获取到token或获取到的token不正确。
### 米家app获取
这种方法需要的mijia app版本较老且只对部分设备有效。
### 从数据库获取token
这种方法仅在Mi Home 5.0.19之前的版本可用。
该方法是读取手机中米家的app中的数据记录来获取设备的token具体步骤如下
- 准备一部获取root权限的安卓手机
- 安装米家app并登录账号
- 进入/data/data/com.xiaomi.smarthome/databases/
- 拷贝db下载到电脑
- [前往网站](http://miio2.yinhh.com/)上传db点击提交即可获得token。
- 8894c73cbd5c7224fb4b8a39e360c255
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/6.png)
## 脚本控制IOT设备
首先随意发送hellobytes获得时间和设备IDtoken我们自己设置然后构造发送的数据结构msgcmd中的method包括set_power(控制开关)、get_prop(获取状态)控制的params是[on]/ [off]获取状态的params是[power, temperature]
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/7.png)
如果获得了token就能对小米的设备进行操作如图下面是返回的信息。
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1553323440/miio/8.png)
## 总结
从目前的智能家居市场来看,用户不会只使用单个智能设备厂商的设备,所以对于厂商来说,通过开放接口给用户一些局域网的控制“自由”,实现不同厂商设备的联动是一个不错的选择。
从另外一个角度本文中体现的安全问题我们也不容忽视。如果在局域网中不经过认证就能获取物联网设备的访问凭证并进而进行控制无形中给入侵者留了一扇门。例如攻击者可经过扫描互联网发现家庭路由器并利用弱口令或设备漏洞获得路由器的shell权限接下来就可按照文中步骤就可以获得设备token进而控制。好在小米已经在最新的miio版本中修复了这一漏洞大大提高了攻击者获取token的难度。
Reference in New Issue View Git Blame Copy Permalink