SS7可能涉及到的网络:
PSTN 我理解就是固话网络
PLMN 我理解就是移动通信网络,这个是重点;因为目的是要实现获取IMSI和获取MSC/VLR内容.
SS7相关利用的再次分析:
https://github.com/philpraxis/sctpscan/blob/master/ports.py
首先各种默认端口的扫描.
首先了解下寻址概念:
OPC DPC 寻址
GT寻址
https://wenku.baidu.com/view/5ff28f49a26925c52cc5bf84.html
大概意思:例如互联网我们用ip端口寻址和mac地址寻址;移动通信网络里面他们不用这些寻址了,他们有自己的寻址方式.
协议层面解析:
https://baike.baidu.com/item/SIGTRAN/8294531
iP协议层:IP
信令传输层:SCTP (nmap -z 和nmap -Y 都有设计到sctp扫描端口的.)
信令传输适配层:SUA、M3UA、M2UA、M2PA、IUA
信令应用层:TCAP、TUP、ISUP、SCCP、MTP3、Q931/QSIG
对着端口发包,可能可利用的协议:
SUA对应TCAP(SUA端口看默认脚本定义,里面蛮多SUA默认端口相关)
M3UA对应TUP、ISUP、SCCP、TCAP (老外经常用这个,默认端口2905 sctp协议)
M2UA/M2PA对应MTP3、ISUP(m2ua原理图:https://wenku.baidu.com/view/6cadc5ac04a1b0717fd5dd91.html,默认端口2904 sctp协议)
IUA对应Q931/QSIG、ISUP(IUA端口看默认脚本定义,里面蛮多SUA默认端口相关)
效果:
获取MSISDN获取IMSI
发送IMSI获取MSC的VLR信息(LOC Cellid定位)
可能用到的包:
https://hitcon.org/2015/CMT/download/day1-d-r0.pdf
SendRoutinginfo
SendRoutinginfo For ShortMessage
SendIMSI
复制卡:
http://www.360doc.com/content/17/0517/23/31141278_654839253.shtml
三码:IMSI ESN A-KEY(k2 k4这些)
五码:AN/AAA
流程
1.提供ip 和 m3ua m2ua端口,支持ss7信令.我本地写模拟器对着发包.
2.我自己用GT寻址,寻找目标HLR或者已经有了对方HLR地址.
找到HLR后,对着目标运营商的HLR发送手机号;获取IMSI信息和MSC地址信息. 发送的协议是 SendRoutinginfo,参数是MSISDN. GSM MAP信令.
3.对着MSC地址发送IMSI,获取VLR(这里面就有最近一次的LOC 和 cellid). 发送的协议是 provideSubscriberInfo,参数是IMSI. GSM MAP信令.
PSTN 我理解就是固话网络
PLMN 我理解就是移动通信网络,这个是重点;因为目的是要实现获取IMSI和获取MSC/VLR内容.
SS7相关利用的再次分析:
https://github.com/philpraxis/sctpscan/blob/master/ports.py
首先各种默认端口的扫描.
首先了解下寻址概念:
OPC DPC 寻址
GT寻址
https://wenku.baidu.com/view/5ff28f49a26925c52cc5bf84.html
大概意思:例如互联网我们用ip端口寻址和mac地址寻址;移动通信网络里面他们不用这些寻址了,他们有自己的寻址方式.
协议层面解析:
https://baike.baidu.com/item/SIGTRAN/8294531
iP协议层:IP
信令传输层:SCTP (nmap -z 和nmap -Y 都有设计到sctp扫描端口的.)
信令传输适配层:SUA、M3UA、M2UA、M2PA、IUA
信令应用层:TCAP、TUP、ISUP、SCCP、MTP3、Q931/QSIG
对着端口发包,可能可利用的协议:
SUA对应TCAP(SUA端口看默认脚本定义,里面蛮多SUA默认端口相关)
M3UA对应TUP、ISUP、SCCP、TCAP (老外经常用这个,默认端口2905 sctp协议)
M2UA/M2PA对应MTP3、ISUP(m2ua原理图:https://wenku.baidu.com/view/6cadc5ac04a1b0717fd5dd91.html,默认端口2904 sctp协议)
IUA对应Q931/QSIG、ISUP(IUA端口看默认脚本定义,里面蛮多SUA默认端口相关)
效果:
获取MSISDN获取IMSI
发送IMSI获取MSC的VLR信息(LOC Cellid定位)
可能用到的包:
https://hitcon.org/2015/CMT/download/day1-d-r0.pdf
SendRoutinginfo
SendRoutinginfo For ShortMessage
SendIMSI
复制卡:
http://www.360doc.com/content/17/0517/23/31141278_654839253.shtml
三码:IMSI ESN A-KEY(k2 k4这些)
五码:AN/AAA
流程
1.提供ip 和 m3ua m2ua端口,支持ss7信令.我本地写模拟器对着发包.
2.我自己用GT寻址,寻找目标HLR或者已经有了对方HLR地址.
找到HLR后,对着目标运营商的HLR发送手机号;获取IMSI信息和MSC地址信息. 发送的协议是 SendRoutinginfo,参数是MSISDN. GSM MAP信令.
3.对着MSC地址发送IMSI,获取VLR(这里面就有最近一次的LOC 和 cellid). 发送的协议是 provideSubscriberInfo,参数是IMSI. GSM MAP信令.