pwnobd：一款针对OBD-II设备的漏洞分析与渗透测试工具

科技 2024-12-31 18:59 上海

关于pwnobd

pwnobd是一款针对OBD-II设备的漏洞分析与渗透测试工具，该工具基于纯Python开发，可以帮助广大研究人员对OBD-II设备执行安全分析。

工具要求

Python 3

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Nnubes256/pwnobd.git

然后切换到项目根目录中，初始化一个虚拟环境：


cd pwnobd
python -m venv .env

激活虚拟环境：


source .env/bin/activate

将项目以包的形式安装到虚拟环境中：


pip install -e .

pipx安装

该软件打包为 Python 包，因此可以使用pipx在受控环境中快速安装该软件：


pipx install git+https://github.com/Nnubes256/pwnobd.git

安装后，使用以下命令运行软件：


pwnobd

用于help发现可用的命令。命令历史记录保存在~/.pwnobd_history中。

工具使用

渗透测试

pwnobd的渗透测试脚本位于src/pwnobd/modules/attacks/目录中，渗透测试流程如下：

1、def precheck(**kwargs)：每次为渗透测试设置选项时都会调用，允许实现超出OPTIONS提供的自定义参数验证；
2、def __init__(self, arg1: type1, arg2: type2, ...)：发起渗透测试的第一步；获取我们在OPTIONS处指定的参数；
3、async def setup(self)：渗透测试发起的第二步，在此进行初始化；
4、async def run(self, ctx: WorkTaskContext, devices: dict[int, Device])：实际的渗透测试实施在此处，在任务内运行；

设备与扫描

class BluetoothThingymabobScanResult(ScannedDevice):
    # TODO implement
    #   name(self) -> str
    #   device_type(self) -> str
    #   create_device(self) -> Device
    pass
 
@scanner("thingymabob")
class BluetoothThingymabobScanner(LeafScanner):
    async def scan(self, ctx: ScanContext):
        # Retrieve `BluetoothScanner` and ask it to scan for Bluetooth devices.
        devices = await ctx.get_scanner(BluetoothScanner).scan(ctx)
 
        # ... do something with the returned devices...
 
        return [
          BluetoothThingymabobScanResult(...),
          BluetoothThingymabobScanResult(...),
          # ...
        ]

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

pwnobd：

https://github.com/Nnubes256/pwnobd

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复「加群」，申请加入群聊】

FreeBuf

中国网络安全行业门户

最新文章

2025年，这些网安“传奇产品”都凉了？

CEO被捕事件后，Telegram与执法部门共享的用户数据激增

知名基因测序仪曝BIOS漏洞，可禁用疾病监测和疫苗开发

Group3r：一款针对活动目录组策略安全的漏洞检测工具

Redis服务器曝2个严重的RCE漏洞，数百万系统面临风险

4年内重复出现3次，AWS屡曝严重RCE漏洞

LegionLoader滥用Chrome扩展传播多种恶意软件

Exegol：一款功能完整的社区驱动型渗透测试工具

电台派“兑”，发图文换Su7车模

知名化工巨头被勒索攻击，泄露761.8GB数据

Threatcl：一款威胁模型记录与归档工具

Windows 曝9.8分漏洞，已有PoC及利用情况

超过300万台未加密的邮件服务器暴露

Exposor：一款基于互联网搜索引擎实现的统一语法网络侦查工具

通过密评需要哪些安全设备？

FreeBuf周报 | 超过300万台未加密的邮件服务器暴露；WPA3协议存在安全漏洞

用户集体起诉Siri“偷听”

Agneyastra：一款Firebase 错误配置检测工具包

准备好了吗？安全运营正式进入AI时代

黑客滥用AWS泄露的信息进行云狩猎

日本最大的移动运营商因DDoS攻击导致服务中断

CEmu：一款轻量级多平台架构汇编训练场

至少35个Chrome扩展被劫持，新细节揭示了黑客的攻击手法

新的“DoubleClickjacking”漏洞可绕过网站的劫持保护

Knock：一款模块化的子域名扫描工具

WPA3协议存在安全漏洞，黑客可获取WiFi密码

老旧D-Link路由器成了僵尸网络的武器

大量Chrome扩展程序遭黑客攻击，60万用户数据危险

SilverSamlForger：一款针对Silver SAML的安全研究工具

CCSIP 2024中国网络安全行业全景册（第七版）发布 | FreeBuf咨询

《银行保险机构数据安全管理办法》发布

pwnobd：一款针对OBD-II设备的漏洞分析与渗透测试工具

跨年首映 |《我的百万网安男友》两集连播

FreeBuf 2025年度线上&线下活动年度企划目录

亚太地区恐在2025年面临更多深度伪造、量子攻击威胁

Brakeman：针对Ruby on Rails应用的静态分析安全漏洞扫描器

Windows Defender成黑客武器，可禁用EDR

曹县黑客2024年“营收”超13亿美元，单笔最高3亿美元

AIL-framework：一款模块化信息泄露安全分析框架

热门npm包被植入加密挖矿软件，感染目标涉及中国

FreeBuf周报 | AI平台1.29T数据库裸奔；9.9分SQL注入漏洞可获admin权限

Palo Alto防火墙存在高危漏洞，触发无需交互和权限

VECTR：一款红蓝队测试活动跟踪与分析评估工具

HACKPROVE DISCORD匿名社区，限时开放！

CSDN挂马事件的安全警醒；平时如何应对钓鱼攻击| FB甲方群话题讨论

SEO 中毒：网络犯罪分子如何将搜索引擎变成陷阱

Blackdagger：一款针对DevSecOps的工作流自动化工具

9.9分的SQL注入漏洞，可获admin权限

特朗普网安政策重大转向：CISA收缩，减少监管

日本航空遭黑客攻击，大量航班延误

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉