我正在尝试对 3M50 Filtrete Thermostat 进行逆向工程(服务器支持即将结束)。恒温器每 5 分钟向 http 服务器发送一次请求。我使用 mitmproxy 监听请求,发现请求如下所示:
{"uuid":"5cdad4dfaa2a","format_ver":"102","eiv":"2ab26c2e4e9407b790e86b8250f8c186"}\xb4&\xfbBX\x1a\x9aD\x99C\xee\xd4\xd7h\xf3Z\x01\x18\x8f\xe6\x94\xdeo &\x18OIxY'Z\x06*^\xf0\xa8\x9c#\x1a\xacK\xbb\x03\xdc\xaf*\xdc\xdf\xe0\xd8\xcd
7\xf7\x99\xc24\x06n\xa2\xac\xa9\x95\xc0\xbe\x86
\x8d\x03\x84G,\xa7uG\x80\xa6jK\xc5ZC\x11\x07h\xc1\xbe\xf7\x02\xbf\x8e\x83\xc2\xdf\xad\x99ha\x11\xa8\x8f7\x7f8\xff\x9b\x11%?\xbb\xb2k\xe15\xea$\xea4-x\xc1\x8bJT\xcbM\x8c\xfe\xc8\x84\x91,
51\xf9\xb1\x97\xd2\xbbCr\xf8w!\xfc\xd3\xa6\x08p\xce\xd9@\x17\xf7\x91"('5B\xf0\x18\xbe_V\x8b\xc7\x02\x8f\xfd\xbb\xd5N:\xcf\xa9J\x94\x0f9\xc3\xffBs\x87(\xe9\xae\x9e\x00\x9b\xc7\xe3\x0bZ,\x85\x9fc5e\x16\xea+\xba\x16^\xfe\x14\xce4\xe7b\x91\xbe;\x994\xa7W2\x1d\x03\xe7[\xf38\xa1\x19,\x84\xf8\xb8\xe5|\xa8\xb1\x00\x7f
G\xa2\xa4c^\\\x05\xf1\xdb\x08\xd5w\xed
hD\xdbC0\xd0\x98-}\x07\xa2\x14\xc8\xd7\x12\x06\x17\x9f_\xe8\x1b\x97]J\x82S`\xff\xee\xd7\xaa \xe7@K\x05\x0c\xc3!3\xa3W\xf0O\x89\x96w\x86
服务器的响应是
\xbf\x8d\xb3\xba\xec"\xd2+\xe68\xb9\xc6\xe4z\x93=H]\x14\xb4\x1e\x83\xca\xe84\x1e\x1f\xc8\xf7\xbbp\xa6\xe6\xf2k\x18P\x129\xfcS\xae\x9e\xcek\xe6\x04\x08\xc1\xc7\x82Y\xd8\xa8\x13\x8b\x174]\x99\x1c\xe0;\xe8
我就像base64或其他编码一样,通过CyberChef运行它https://gchq.github.io/CyberChef,什么也没有通过。
我想到的第二件事是,这是一个 java desarlized 对象。服务器似乎正在从 http 响应标头运行 Java。然后,我获取了无线电恒温器的 APK (https://m.apkpure.com/wi-fi-enabled-radio-thermostat/RadioThermostat.com),并对其进行反编译,查看是否有许多对 api 端点的请求但事实并非如此。
我拆解了一下,温控器使用的单片机是PIC18F65J11。这不应该运行 Java,所以我意识到我找错了树。
再次查看请求,似乎发送了 IV(不确定是否加密),并且恒温器使用的身份验证密钥是:“authkey”:“c419f19f”。
查看此处的一些文档 https://ww1.microchip.com/downloads/en/AppNotes/00953a.pdf,看起来 pic18 微芯片系列使用 AES、XTEA、SKIPJACK 或 XOR。
我使用了 https://gchq.github.io/CyberChef,以及 AES 和 XOR,但我无法得到任何有意义的信息。
我现在不知道该尝试什么,我不知道有任何算法使用 16 字节 iv 和 4 字节密钥。我不知道 eiv(加密 iv ?)是否是一个转移注意力的东西,但任何建议将不胜感激。
出于完全相同的原因有相同的兴趣。我和一个合作伙伴有大约 100 个用于商业用途的 RT 统计数据。我们通过轮询过程进行监视和控制,但也希望能够使用云技术。您在解码二进制数据方面取得了进一步的进展吗?