从抓包到解密:搞定蓝牙配对Key(Link Key)的三种实战方法(Android/HCI日志/Ellisys)
从抓包到解密:搞定蓝牙配对Key(Link Key)的三种实战方法(Android/HCI日志/Ellisys)
当你面对一堆加密的蓝牙空口日志时,那些红色的数据包就像被锁住的宝箱,而Link Key就是打开它们的万能钥匙。本文将带你深入蓝牙协议的安全腹地,揭秘三种获取Link Key的实战方法,让你的抓包数据从"红色警报"变为"绿色通行"。
1. 蓝牙安全基础:为什么Link Key如此重要?
蓝牙通信的安全性很大程度上依赖于配对过程中生成的Link Key。这个128位的密钥用于加密设备之间的数据传输,防止窃听和中间人攻击。但当我们作为安全研究人员或开发者需要分析通信内容时,这个保护机制反而成了障碍。
典型场景:
- 分析蓝牙设备的通信协议
- 调试加密传输中的问题
- 安全审计和漏洞挖掘
- 逆向工程蓝牙设备功能
注意:本文所有技术方法仅限合法合规的研究和开发用途,请遵守相关法律法规。
2. 方法一:从Android系统文件中提取Link Key
2.1 定位关键配置文件
Android设备存储蓝牙配对信息在bt_config.conf文件中,路径通常为:
/data/misc/bluedroid/bt_config.conf不同Android版本可能略有差异:
- Android 8.0及以下:
/data/misc/bluetooth/bt_config.conf - Android 9.0及以上:
/data/misc/bluedroid/bt_config.conf
2.2 提取Link Key的详细步骤
- 获取设备root权限(必需)
- 使用ADB连接设备:
adb shell - 查看配置文件:
cat /data/misc/bluedroid/bt_config.conf - 在输出中查找类似以下内容:
[LinkKey] Address = 11:22:33:44:55:66 Key = 918af45231440374833a6a3f2fc3ecfd Type = 4
关键字段说明:
| 字段 | 说明 |
|---|---|
| Address | 配对设备的蓝牙MAC地址 |
| Key | 实际的Link Key值(16字节十六进制) |
| Type | 密钥类型(4表示认证链接密钥) |
2.3 常见问题与解决方案
- 权限不足:确保使用
su切换到root用户 - 文件不存在:检查设备是否已完成至少一次蓝牙配对
- 密钥不工作:尝试清除蓝牙缓存后重新配对
3. 方法二:从HCI日志中捕获Link Key
3.1 HCI日志的作用与启用
Host Controller Interface(HCI)日志记录了蓝牙芯片与主机之间的所有交互,包括配对过程中的密钥交换。
启用HCI日志的方法:
adb shell setprop persist.bluetooth.btsnoopenable true adb shell setprop persist.bluetooth.btsnooppath /sdcard/btsnoop_hci.log adb reboot3.2 解析HCI日志获取Link Key
- 获取日志文件:
adb pull /sdcard/btsnoop_hci.log - 使用Wireshark分析日志,过滤配对过程:
bthci_evt.event == 0x17 - 在"Link Key Notification"事件中查找密钥
关键数据包结构:
| 偏移量 | 内容 | 说明 |
|---|---|---|
| 0-5 | MAC地址 | 远程设备地址 |
| 6-21 | Link Key | 16字节密钥 |
| 22 | 密钥类型 | 0x04为认证链接密钥 |
3.3 实战技巧
- 在配对过程中抓取日志,确保捕获密钥交换
- 使用
btmon工具实时监控HCI事件:btmon -w hci_dump.pcap - 对于BLE设备,关注"Long Term Key"(LTK)而非传统Link Key
4. 方法三:Ellisys抓包分析中的Link Key处理
4.1 先抓包后解密的"迂回"策略
Ellisys等专业蓝牙分析仪通常提供两种工作模式:
- 实时解密:需要预先输入Link Key
- 后处理解密:先抓取原始数据,后期再应用密钥
操作流程:
- 开始抓包时不提供Link Key
- 捕获完整的配对过程
- 从抓包数据中提取Link Key
- 重新加载抓包文件并应用密钥
4.2 Ellisys中的具体实现步骤
设置抓包过滤器为"Keep All"以捕获所有通信
确保捕获到完整的配对过程(包括PIN码交换)
停止抓包后,在"Decryption"选项卡中:
- 选择"Extract Keys from Capture"
- 定位到配对过程的数据包
- 导出发现的Link Key
重新加载抓包文件并应用提取的密钥
4.3 高级技巧与注意事项
- 对于较新的蓝牙版本,可能需要捕获"Secure Connections"配对过程
- Ellisys的"Key Reconstruction"功能可以自动推导部分密钥
- 确保时间同步准确,避免解密时出现偏移
5. 三种方法的对比与选择指南
| 方法 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|
| Android系统文件 | 已root的Android设备 | 直接获取,无需抓包 | 需要root权限 |
| HCI日志 | 开发调试场景 | 完整记录协议交互 | 需要解析复杂日志 |
| Ellisys后处理 | 专业分析环境 | 无需预先知道密钥 | 需要专业设备 |
选择建议:
- 如果是自己的测试设备,优先尝试Android系统文件方法
- 对于未知设备,使用HCI日志或Ellisys抓包分析
- 遇到Secure Connections配对时,HCI日志可能是唯一选择
6. 进阶应用:从Link Key到协议分析
成功获取Link Key后,你可以:
- 在Wireshark中解密抓包数据:
-- 在Wireshark的"蓝牙首选项"中添加Link Key btbb.prefs.add_key("11:22:33:44:55:66", "918af45231440374833a6a3f2fc3ecfd") - 分析加密的Profile数据(如A2DP、HFP等)
- 逆向工程专有协议实现
- 检测加密实现中的潜在漏洞
实战案例: 在分析某蓝牙音箱时,通过提取Link Key解密通信后,发现其固件更新协议存在明文校验漏洞,允许中间人攻击注入恶意固件。