Merhaba, bu yazıda Root-Me platformunda bulunan “Bluetooth – Unknown file” çözümünü yapacağım. Soruda bize bir “.bin” uzantılı bir telefon ve pc arasında kurulan iletişimin capture dosyası verilmektedir. Bu dosya üzerinde Wireshark ile analiz yaparak MAC adresi ve telefon cihaz ismi bulmamız ve bunları birleştirerek SHA-1 hash elde etmemiz istenilmektedir.
Soruda bize aşağıdaki gibi senaryo verilmektedir.
NSA’DA çalışan arkadaşınız bir bilgisayar korsanının bilgisayarından okunamayan bir dosyayı kurtardı. Bildiği tek şey, bunun bir bilgisayar ve bir telefon arasındaki iletişimden geldiğidir.
Cevap, MAC adresinin (büyük harf) ve telefonun adının birleştirilmesinin sha1 karmasıdır.
AB:CD:EF:12:34:56myPhone -> 023cc433c380c2618ed961000a681f1d4c44f8f1
Yukarıda verilen örnekte olduğu gibi MAC adres ve cihaz ismini birleştirerek sha-1 hash elde ederek sorunun çözümünü bitireceğiz.
İlk olarak bize verilen dosyayı indirelim ve Wireshark ile açalım.
“ch18.bin” dosyasını wireshark ile açıyoruz. Ancak dosyayı analiz etmeden önce aşağıdakilerin üzerinden geçelim.
Bize verilen dosya bir BTSNOOP dosyasıdır. Dosya, bilgisayar ile telefon arasındaki Bluetooth iletişiminden alınmış. Bu yüzden içinde şu bilgiler olmalı:
- MAC adresleri (cihazların Bluetooth adresleri)
- Telefonun adı
Wireshark ile açtığımızda protokol olarak sadece “HCI_EVT” görmekteyiz. Eğer BTSNOOP dosyası sadece HCI_EVT (HCI Event) protokolünü içeriyorsa, bu şu anlama gelir:
Dosyada sadece Bluetooth olayları var, ancak SDP (Service Discovery Protocol) veya L2CAP gibi katmanlar yok. Bu dosyayı analiz ederken “BD_ADDR” değeri telefonun mac adresidir.
Sarı ile işaretlediğim alandan cihazın mac adresini elde ediyoruz.
Daha sonra cihazın ismini öğrenmemiz gerekiyor. Bunun için paketlere tek tek bakabiliriz ancak karşımızda çok daha fazla paket olduğunu hesap ederek filtreleme kullanabiliriz.
İstekler içerisinde “Remote Name Request Complete” paketini görüyoruz.
HCI Remote Name Request Nedir?
Remote Name Request (Uzaktan İsim İsteği), bir Bluetooth cihazının başka bir cihazın adını öğrenmek için gönderdiği bir komuttur.
- Kod 0x07 → “Remote Name Request Complete” olayını gösterir.
- Bu paket, cihazın MAC adresini (BD_ADDR) ve cihazın ismini (Complete Local Name) içerir.
Wiresharkta bu isteği görmek için “bthci_evt.code == 0x07” filtrelemesini kullanabiliriz.
Cihaz ismini de bu paketi inceleyerek elde ettik. Şimdi sırada soruda bizden istenildiği gibi sha-1 hash değerini bulmak için mac adresi büyük harflerle yazarak ve cihaz ismini ekleyerek hash değerini elde edeceğiz.
Evet cihaz ismi “GT-S7390G” ve mac adresi “0C:B3:19:B9:4F:C6” birleştirerek hash değerini elde ettik ve sorunun çözümünü tamamladık.
Başka yazılarda görüşmek üzere.
