hacktricks/radio-hacking/pentesting-ble-bluetooth-low-energy.md

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}


# Introdução

Disponível desde a especificação Bluetooth 4.0, o BLE usa apenas 40 canais, cobrindo a faixa de 2400 a 2483,5 MHz. Em contraste, o Bluetooth tradicional usa 79 canais nessa mesma faixa.

Os dispositivos BLE se comunicam enviando **pacotes de publicidade** (**beacons**), esses pacotes transmitem a existência do dispositivo BLE para outros dispositivos próximos. Esses beacons às vezes **enviam dados** também.

O dispositivo que escuta, também chamado de dispositivo central, pode responder a um pacote de publicidade com um **pedido SCAN** enviado especificamente para o dispositivo de publicidade. A **resposta** a esse scan usa a mesma estrutura que o pacote de **publicidade** com informações adicionais que não puderam ser incluídas no pedido de publicidade inicial, como o nome completo do dispositivo.

![](<../.gitbook/assets/image (201) (2) (1) (1).png>)

O byte de preâmbulo sincroniza a frequência, enquanto o endereço de acesso de quatro bytes é um **identificador de conexão**, que é usado em cenários onde múltiplos dispositivos estão tentando estabelecer conexões nos mesmos canais. Em seguida, a Unidade de Dados de Protocolo (**PDU**) contém os **dados de publicidade**. Existem vários tipos de PDU; os mais comumente usados são ADV\_NONCONN\_IND e ADV\_IND. Dispositivos usam o tipo de PDU **ADV\_NONCONN\_IND** se **não aceitam conexões**, transmitindo dados apenas no pacote de publicidade. Dispositivos usam **ADV\_IND** se **permitirem conexões** e **pararem de enviar publicidade** uma vez que uma **conexão** tenha sido **estabelecida**.

## GATT

O **Perfil de Atributo Genérico** (GATT) define como o **dispositivo deve formatar e transferir dados**. Ao analisar a superfície de ataque de um dispositivo BLE, você frequentemente concentrará sua atenção no GATT (ou GATTs), porque é assim que a **funcionalidade do dispositivo é acionada** e como os dados são armazenados, agrupados e modificados. O GATT lista as características, descritores e serviços de um dispositivo em uma tabela como valores de 16 ou 32 bits. Uma **característica** é um valor **de dados** **enviado** entre o dispositivo central e o periférico. Essas características podem ter **descritores** que **fornecem informações adicionais sobre elas**. **Características** são frequentemente **agrupadas** em **serviços** se estiverem relacionadas à realização de uma ação específica.

# Enumeração
```bash
hciconfig #Check config, check if UP or DOWN
# If DOWN try:
sudo modprobe -c bluetooth
sudo hciconfig hci0 down && sudo hciconfig hci0 up

# Spoof MAC
spooftooph -i hci0 -a 11:22:33:44:55:66
```
## GATTool

**GATTool** permite **estabelecer** uma **conexão** com outro dispositivo, listando as **características** desse dispositivo e lendo e escrevendo seus atributos.\
GATTTool pode iniciar um shell interativo com a opção `-I`:
```bash
gatttool -i hci0 -I
[ ][LE]> connect 24:62:AB:B1:A8:3E Attempting to connect to A4:CF:12:6C:B3:76 Connection successful
[A4:CF:12:6C:B3:76][LE]> characteristics
handle: 0x0002, char properties: 0x20, char value handle:
0x0003, uuid: 00002a05-0000-1000-8000-00805f9b34fb
handle: 0x0015, char properties: 0x02, char value handle:
0x0016, uuid: 00002a00-0000-1000-8000-00805f9b34fb
[...]

# Write data
gatttool -i <Bluetooth adapter interface> -b <MAC address of device> --char-write-req <characteristic handle> -n <value>
gatttool -b a4:cf:12:6c:b3:76 --char-write-req -a 0x002e -n $(echo -n "04dc54d9053b4307680a"|xxd -ps)

# Read data
gatttool -i <Bluetooth adapter interface> -b <MAC address of device> --char-read -a 0x16

# Read connecting with an authenticated encrypted connection
gatttool --sec-level=high -b a4:cf:12:6c:b3:76 --char-read -a 0x002c
```
## Bettercap
```bash
# Start listening for beacons
sudo bettercap --eval "ble.recon on"
# Wait some time
>> ble.show # Show discovered devices
>> ble.enum <mac addr> # This will show the service, characteristics and properties supported

# Write data in a characteristic
>> ble.write <MAC ADDR> <UUID> <HEX DATA>
>> ble.write <mac address of device> ff06 68656c6c6f # Write "hello" in ff06
```
{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
{% endhint %}
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`{% hint style="success" %}`
			`Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 15:03:37 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`<details>`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 15:03:37 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`<summary>Support HackTricks</summary>`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 15:03:37 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`* Check the [subscription plans](https://github.com/sponsors/carlospolop)!`
			`* Join the 💬 [Discord group](https://discord.gg/hRep4RUj7f) or the [telegram group](https://t.me/peass) or follow us on Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Share hacking tricks by submitting PRs to the [HackTricks](https://github.com/carlospolop/hacktricks) and [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos.`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 15:03:37 +00:00
			`</details>`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`{% endhint %}`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 15:03:37 +00:00

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Introdução`
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`Disponível desde a especificação Bluetooth 4.0, o BLE usa apenas 40 canais, cobrindo a faixa de 2400 a 2483,5 MHz. Em contraste, o Bluetooth tradicional usa 79 canais nessa mesma faixa.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Os dispositivos BLE se comunicam enviando pacotes de publicidade (beacons), esses pacotes transmitem a existência do dispositivo BLE para outros dispositivos próximos. Esses beacons às vezes enviam dados também.`
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`O dispositivo que escuta, também chamado de dispositivo central, pode responder a um pacote de publicidade com um pedido SCAN enviado especificamente para o dispositivo de publicidade. A resposta a esse scan usa a mesma estrutura que o pacote de publicidade com informações adicionais que não puderam ser incluídas no pedido de publicidade inicial, como o nome completo do dispositivo.`
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00
GitBook: [#3164] No subject 2022-05-01 16:17:23 +00:00			`![](<../.gitbook/assets/image (201) (2) (1) (1).png>)`
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			O byte de preâmbulo sincroniza a frequência, enquanto o endereço de acesso de quatro bytes é um identificador de conexão, que é usado em cenários onde múltiplos dispositivos estão tentando estabelecer conexões nos mesmos canais. Em seguida, a Unidade de Dados de Protocolo (PDU) contém os dados de publicidade. Existem vários tipos de PDU; os mais comumente usados são ADV\_NONCONN\_IND e ADV\_IND. Dispositivos usam o tipo de PDU ADV\_NONCONN\_IND se não aceitam conexões, transmitindo dados apenas no pacote de publicidade. Dispositivos usam ADV\_IND se permitirem conexões e pararem de enviar publicidade uma vez que uma conexão tenha sido estabelecida.
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00			`## GATT`
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			O Perfil de Atributo Genérico (GATT) define como o dispositivo deve formatar e transferir dados. Ao analisar a superfície de ataque de um dispositivo BLE, você frequentemente concentrará sua atenção no GATT (ou GATTs), porque é assim que a funcionalidade do dispositivo é acionada e como os dados são armazenados, agrupados e modificados. O GATT lista as características, descritores e serviços de um dispositivo em uma tabela como valores de 16 ou 32 bits. Uma característica é um valor de dados enviado entre o dispositivo central e o periférico. Essas características podem ter descritores que fornecem informações adicionais sobre elas. Características são frequentemente agrupadas em serviços se estiverem relacionadas à realização de uma ação específica.
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Enumeração`
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00			```bash
			`hciconfig #Check config, check if UP or DOWN`
			`# If DOWN try:`
			`sudo modprobe -c bluetooth`
			`sudo hciconfig hci0 down && sudo hciconfig hci0 up`

			`# Spoof MAC`
			`spooftooph -i hci0 -a 11:22:33:44:55:66`
			```
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00			`## GATTool`
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`GATTool permite estabelecer uma conexão com outro dispositivo, listando as características desse dispositivo e lendo e escrevendo seus atributos.\`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			GATTTool pode iniciar um shell interativo com a opção `-I`:
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00			```bash
			`gatttool -i hci0 -I`
			`[ ][LE]> connect 24:62:AB:B1:A8:3E Attempting to connect to A4:CF:12:6C:B3:76 Connection successful`
			`[A4:CF:12:6C:B3:76][LE]> characteristics`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 15:03:37 +00:00			`handle: 0x0002, char properties: 0x20, char value handle:`
			`0x0003, uuid: 00002a05-0000-1000-8000-00805f9b34fb`
			`handle: 0x0015, char properties: 0x02, char value handle:`
			`0x0016, uuid: 00002a00-0000-1000-8000-00805f9b34fb`
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00			`[...]`

			`# Write data`
			`gatttool -i <Bluetooth adapter interface> -b <MAC address of device> --char-write-req <characteristic handle> -n <value>`
			`gatttool -b a4:cf:12:6c:b3:76 --char-write-req -a 0x002e -n $(echo -n "04dc54d9053b4307680a"\|xxd -ps)`

			`# Read data`
			`gatttool -i <Bluetooth adapter interface> -b <MAC address of device> --char-read -a 0x16`

			`# Read connecting with an authenticated encrypted connection`
			`gatttool --sec-level=high -b a4:cf:12:6c:b3:76 --char-read -a 0x002c`
			```
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00			`## Bettercap`
GitBook: [#3038] No subject 2022-02-28 09:13:08 +00:00			```bash
			`# Start listening for beacons`
			`sudo bettercap --eval "ble.recon on"`
			`# Wait some time`
			`>> ble.show # Show discovered devices`
			`>> ble.enum <mac addr> # This will show the service, characteristics and properties supported`

			`# Write data in a characteristic`
			`>> ble.write <MAC ADDR> <UUID> <HEX DATA>`
			`>> ble.write <mac address of device> ff06 68656c6c6f # Write "hello" in ff06`
			```
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`{% hint style="success" %}`
			`Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`<summary>Support HackTricks</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para o [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00			`{% endhint %}`