PDU是手机Modem交互中使用的协议数据单元模式(Protocol Data Unit)。
通常可以用与计算机与手机进行调制解调通信发送短信的编码。部分三星手机,存在可以直接进行调制解调器命令发送的漏洞,这样的漏洞导致我们可以通过PDU模式发送 Silent sms(静默短信),除此之外,三星的调制解调器漏洞也允许读取sim卡的KC(在文末附工具清单)。
静默短信的原理是发送一个特定长度和特定标记的短信到对方的手机,这并不是一个系统漏洞——而是按照3GPP的协议标准定义:协议要求接受方不显示、并直接丢弃这条短信。
也就是说,接收方不会收到任何短信,但是实际短信已经到达了接收方手机。这样做的目的通常是用来做手机定位,再2015年欧洲的一个会议上,运营商披露了德国执法机构一年发送了40万条用于追踪犯罪分子。
PDU模式
通过AT命令发送PDU短信
AT+CMGF=0 <Enter> //告诉它你要发的是PDU类的短信
OK //这是它返回的它说:“我已经准备好了”
AT+CMGS=25 <Enter> //告诉它你要发的实际长度
输入内容
完成后按Ctrl+Z发送
如果最后返回不是“ERROR”,那就是发送成功咯~
另外一种方便的方法是写一个shell脚本,需要注意的是:
对模块写入 AT+CMGS=
<回车> 的AT命令(其中 是一个数字,该数字是代表了PDU串中某一部分的长度,这一部分就是指除了SMSC地址之外的那一部分),之后应该得到一个 \r\n> \r\n 响应(特别要注意:\r是回车,\n是换行,>是一个大于号,>后面还有一个空格!),才能继续进行下一步;
编辑好的命令
如果觉得阅读后面太麻烦,这里提供了一个链接地址
这个工具可以快速的创建一个PDU短信的代码,避免了复杂的转换工作。
其中包括了闪信选项(经过实际测试,目前只有联通支持,移动似乎已经在基站关闭了这个功能)
PDU解析资料
| 元素 | 名称 | 长度 | 描述 |
|---|---|---|---|
| SCA | Service Center Address | 1-12 | 服务中心号码 |
| PDU-TYPE | Protocol Data Unit Type | 1 | 协议数据单元类型 |
| MR | Message Reference | 1 | 所有成功的SMS-SUBMIT参考数目 |
| OA | Originator Address | 2-12 | 发送方SME的地址 |
| DA | Destination Address | 2-12 | 接收方SME的地址 |
| PID | Protocol Identifier | 1 | 参数标示SMSC以何种方式处理SM,比如FAX,Voice |
| DCS | Data Coding Scheme | 1 | 用户数据采用的编码方案 |
| SCTS | Service Center Time Stamp | 7 | 标示SMSC接收到消息时的时间戳 |
| VP | Validity Period | 0,1,7 | 标示消息在SMSC中不再有效的时长 |
| UDL | User Data Length | 1 | 用户数据段长度 |
| UD | User Data | 0-140 | 用户数据 |
发送方PDU格式
示例:向138xxxx4908发送一条sms,消息内容为:Test
| SCA | PDUType | MR | DA | PID | DCS | VP | UDL | UD |
|---|---|---|---|---|---|---|---|---|
| 服务中心号码 | 协议数据单元类型 | 所有成功SMS-submit参考数 | 接收方SME地址何种方式处理SM比如FAX | 用户采用编码方案 | 消息在SMSC中不再有效时长 | 用户数据段长度 | 用户数据 | |
| 1-12 | 1 | 1 | 2-12 | 1 | 1 | 0,1,7 | 1 | 0-140 |
| 00 | 31 | 00 | 0D916831xxxx4209F8 | 00 | 00 | A7 | 04 | D4F29C0E |
向138xxxx4908发送一条sms,消息内容为:测试
| SCA | PDUType | MR | DA | PID | DCS | VP | UDL | UD |
|---|---|---|---|---|---|---|---|---|
| 服务中心号码 | 协议数据单元类型 | 所有成功SMS-submit参考数 | 接收方SME地址 | 何种方式处理SM比如FAX | 用户采用编码方案 | 消息在SMSC中不再有效时长 | 用户数据段长度 | 用户数据 |
| 1-12 | 1 | 1 | 2-12 | 1 | 1 | 0,1,7 | 1 | 0-140 |
| 00 | 31 | 00 | 0B813xxxx4209F8 | 00 | 18 | A7 | 04 | 6D4B8BD5 |
详细资料
如果有深入研究的兴趣,这是一份更为详细的资料
PDU简介及其格式
PDU是大多数手机短信通讯的核心,我们都可以通过AT指令控制终端实现短信的发送、接收、删除等管理。下面主要介绍PDU的构成及编码解码。
PDU的构成
PDU是由一串由“0-9”及“A-F”组成。表面上看起来就是一组16进制的数所组成的。
下面举一个发送和接收的例子。
手机发送的一个PDU串:
0891683108200805F011190D916831xxxx2848F40008FF108FD9662F4E0067616D4B8BD577ED4FE
对比3GPP协议得到:(二进制代码从左到右依次为高位->低位)
短信中心地址字段
08 Address-Lengt(地址长度):短信息中心地址长度。指(91)+(683108701305F0)的长度。8个字节,包括其后的91
91 Type-of-Address(地址类型):10010001
- Bit7:1。始终为1
Bits 6,5,4:Type-of-Number(号码类型):
- 001—代表Internation Number(国际号码)。也即是号码前加“+”。注意:对某些比较特殊的号码,例如手机与小灵通的互通时,这里不能设置为001;而要设置成000—未知,代表号码前没有“+”,否则无法接收。
- 010—国内号码;011—111也分别代表不同的号码类型,一般不用.Bits 3,2,1,0:Numbering-plan-identification(号码鉴别):
0000—未知,0001—ISDN/电话号码(E.164/E.163),1111—留作扩展;一般默认为0001,表示电话号码类型的。
683108200805F0 (Service center number)短信中心号码:一个字节内反转,8613800280500,如果长度为奇数则需要加“F”补齐
FirstOctet字段 (文件头字节)【超长短信此处为44,相关文档未找全】
11 包含TP-MTI(2bit),TP-RD(1bit),TP-VPF(2bit),TP-RP(1bit),TP-UDHI(1bit),TP-SRR(1bit)
二进制表示形式:0 0 0 10 0 01
- TP-RP:0
TP-Reply-Path(回复路径) - Bit7:0—不设置; 1—设置
0 指示没有设置回复路径。
TP-UDHI:0
TP-User-Data-Header-Indicator(用户数据头标示) - Bit6:0—不含任何头信息; 1—含头信息 【超长短信此处为1,有头信息】
0 指示这是一个SMS消息,没有用户数据头。EMS消息需要设置。
TP-SRR:0
TP-Status-Report-Request Bit5:0—需要报告; 1—不需要报告
TP-VPF:10
TP-Validity-Period-Format(有效期格式)-Bit4,3::00—不提供(Not present); 10—整型(标准);01—预留; 11—提供8位字节的一半(Semi-Octet Represented)
10 指示使用相对格式。
TP-RD:0
TP-Reject-Duplicates(是否拒绝相同重复消息)Bit2:0—接受复制; 1—拒绝复制【超长短信此处为1,拒绝复制】
0 指示短消息中心接受未转发的具有相同TP-MR的消息。
TP-MTI:01
TP-Message-Type-Indicator(消息类型指示符)Bit1,0:00—读出(Deliver); 01—提交(Submit)
01 指示为SMS-SUBMIT类型
0 指示不使用状态报告。
消息参考值TP-MR
19 TP-Message-Reference
使用”00” 值代表让电话自己设置消息参考值.
对方号码字段
0D91683188902848F4
其结构与短信中心号码字段部分类似,不再赘述。
协议标识TP-PID
00 TP-Protocol-Identifier(上层协议指示),一般设置为00,表示普通GSM,点对点
- BIT No. 7 6 5 4 3 2 1 0
- Bit7与Bit6: 00—使用Bit0至Bit5定义的分配;01—使用Bit0至- - Bit5定义的分配,参见GSM03.40协议标识完全定义;10—预留;11—使用Bit0至Bit5定义的分配,为服务中心(SC)特殊用途分配。
一般将这两位置为00。 - Bit5:0—不使用远程网络,只是短消息设备之间的协议;1—使用远程网络。
Bit0,1,2,3,4:00000—隐含;00001—电传;00010—group 3 telefax;00100—语音;00101—欧洲无线信息系统(ERMES);00110—国内系统;10001—任何基于X.400的公用信息处理系统;10010—Email。
编码方法TP-DCS
08 TP-Data-Coding-Scheme(数据编码设置),指示TP-UD的编码方式。08代表Unicode方式。00为7Bit编码
BIT No. 7 6 5 4 3 2 1 0
Bit7与Bit6 :一般设置为00;
Bit5:0—文本未压缩,1—文本用GSM标准压缩算法压缩;
Bit4:0—表示Bit1、Bit0为保留位,不含信息类型信息,1—表示Bit1、Bit0含有信息类型信息;
Bit3与Bit2:00—默认的字母表,01—8bit,10—USC2(16bit),11—预留;
Bit1与Bit0:00—Class 0 立即显示就是闪信(Immediate display) ,01—Class 1,10—Class 2(SIM卡特定信息),11—Class 3。
有效期TP-VP 【如果在FirstOctet字段中定义的有效期有不提供(00)则无此域】【超长短信定义为不提供,相关文档未找全】
FF TP-Validity-Period(有效期)。FF表示最大。
VP value(&h) 相应的有效期
00 to 8F(0 to 143) (VP+1)5 分钟
90 to A7(144 to 167) 12小时+(VP-143)30分钟
A8 to C4(168 to 196) (VP-166)1天
C5 to FF(197 to 255) (VP-192)1 周
用户数据长度TP-UDL
10 TP-User-Data-Length(用户数据长度)
0x10长度。注意不同编码下用户长度定义不同。
用户数据TP-UD
【如果在FirstOctet字段中定义了对信息,如超长短信,则在些处填入头信息】头信息属于TP-UD
05 协议头长度 ,超长短信为5位
00 表示这是条超长短信,相关文档未找全
03 分拆数据真金元素的长度?
39 唯一标志,用于两条短信合并,相关文档未找全,不知如何产生
02 拆分成2条
01 这是第一条
8FD9662F4E0067616D4B8BD577ED4FE
TP-User-Data
中文“这是一条测试短信”的Unicode编码
2、 手机接收的PDU串
0891683108200805F0040D91683188902848F4000850208151754500108FD9662F4E0067616D4B8BD577ED4FE1
短信中心地址字段–SMS的PDU编码 [同发送定义]
0891683108200805F0:+861380280500
FirstOctet
04
其二进制代码:00000100
TP-MTI:00
TP-MMS(TP-More-Message-to-Send):1 短信中心没有更多的消息发送
TP-SRI:0
TP-UDHI:0
TP-RP:0
发送方号码–SMS的PDU编码[同发送定义]
0D91683188902848F4:+8613880982844
协议标识–SMS的PDU编码[同发送定义]
00 TP-PID 点对点
编码方式–SMS的PDU编码(再次记录,以前的找不到了)[同发送定义]
08 TP-DCS Unicode编码
短信中心时间戳–注意,发送此处为1位长的有效期
50208151754500 TP-SCTS 字节反转05/02/18 15:57:45 最后的00代表时区,这里为0
用户数据长度–SMS的PDU编码 [同发送定义]
10 TP-DHL (按字节计)
用户数据(TP-User-Data)–SMS的PDU编码 [同发送定义]
8FD9662F4E0067616D4B8BD577ED4FE1 TP-UD
中文“这是一条测试短信”的Unicode编码
短信回执硬件接口设置
硬件接口
GSM MODEM支持GSM07.05、GSM07.07所定义的的AT指令集。通过串口与计算机相连
短消息回执设置
可以在终端交互界面输入 AT+CNMI? 来确认目前的状态,可能返回的是:> AT CNMI=2,2,0,1,1
CNMI的格式为:AT CNMI=<mode>,<mt>,<bm>,<ds>,<brf>
参数:
mode
1:缓存到终端
0:直接发送到TE
mt
0:接收到新的SMS不返回事件
1:如果接收到的SMS存储在na ,则返回 CMTI:<mem>,<index>
2:除了Class2 SMS,新的SMS直接发送到终端,返回CMT:<length><CR><LF><PDU>
3:Class3 SMS使用mt=2的方法返回,其他类型的使用mt=1的方法返回。
bm
0:小区广播不通知
2:新的小区广播通知,返回CBM:<length><CR><LF ><pdu>
3:Class3格式的小区广播通知,使用bm=2格式
ds
0:状态报告不
1:新的状态报告通知,返回:CDS:<length><CR><LF><pdu>
2:如果新的状态报告存储到ME,则返回:CDSI:<mem>,<index>
brf
1:始终为1
工具清单
- usbswitcher PS,这个Github的作者放了很多关于三星的安全工具,这个工具是调用三星USB接口进入modem模式。
libusb version 0.12 必须安装0.12版本,新的版本不能支持三星手机的读取
gcc
- lsusb
- busybox microcom (alternatively, use minicom)