这个漏洞是Zigbee协议栈的一个漏洞，我在TI的Z-stack上发现的，基本上使用TI芯片的Zigbee，都会出现，而且这个漏洞源代码是开放的，所以我在我们自己的产品上，修改了这个漏洞。
Zigbee的入网方式有两种，一种是Associate-Join，另一种是Rejoin。Associate Join是基于MAC层，节点向FFD发起入网请求，FFD分配地址给节点。通常用的PermitJoin就是开启或者关闭协调器或者路由的Associate-Join处理功能。一个节点向一个PermitJoin未打开的协调器发送Associate Req命令，协调器不会有任何响应。
而Rejoin，则是基于网络层的命令，IEEE802.15.4的MAC层命令只有简单的几条，分别功能就是信标搜索，Associate-Req，Data Request等，保证基本的传输。而802.15.4不光用于Zigbee，还有6LowPAN，WIA-PA等协议，因此Zigbee网络层还有很多命令用于Zigbee的设备管理。
Rejoin与AssociateJoin不同，Rejoin的设备必须拥有自己的16位网络地址，还要有ExternalPANID。ExternalPANID一般就是协调器的MAC地址。当一个节点入网后，如果要切换路由，会向一个新的路由发送Rejoin命令。首先，节点会搜索网络，如果当前网络中存在其它路由，而且路由的子节点列表有空位，节点就会加入到新的路由中，而原来的路由会删除该节点占用的位置。当然，一个网络中，协调器和路由器的子节点表都满了，这个网络中就不能再加入新节点了。
如果，向一个协调器一直发送Rejoin命令，并不断改变节点的MAC地址，会怎么样呢？这个协调器的子节点表会全部占满，导致其无法再加入新的设备，同样如果对路由发，结果更危险，会导致正常的节点无法切换到其它路由上。

攻击步骤：
1，新建一个z-stack工程，不使能加密。
2，想办法，获取目标协调器的IEEE地址，建议可以在回调ZDO_BEACON_NOTIFY_IND_CBID的时候获取，用法参考TI的例程。
3，在ZDApp.c文件中，找到函数NLME_ReJoinRequest，修改为NLME_ReJoinRequestUnsecure。
4，_tmpRejoinState设置为TRUE
5，zgApsUseExtendedPANID改为目标协调器的MAC地址
完成以上，你就可以强行加入到一个关闭PermitJoin的协调器中，消耗它的一个子节点。
然后，你需要重启并变换自己的MAC地址。
找到函数zmain_ext_addr，结尾处如下修改
aExtendedAddress[7] = osal_rand();
aExtendedAddress[6] = osal_rand();
//aExtendedAddress[0]++;
osal_nv_write(ZCD_NV_EXTADDR, 0, Z_EXTADDR_LEN, aExtendedAddress);
// Set the MAC PIB extended address according to results from above.
(void)ZMacSetReq(MAC_EXTENDED_ADDRESS, aExtendedAddress);

卧槽。。这就牛逼了。。。先保存下来。

这个漏洞，已经出现在南京物联的智能家居网关上面

楼主好样的！！！
论坛需要你！

本群整合了一大批物联网专业方面的人才，有c c++ 嵌入式 zigbee 蓝牙 java nfc rfid 传感器 智能家居方面的专业之士，为大家提供搭建一个交友和学习的平台，期待楼主的加入 期待大家的加入咯！

太牛了 警察叔叔逮你走。。。。

楼主牛人

楼主，基于cc2530芯片的zigbee数据链 数据怎么加密？前面我看你说的使能加密是什么意思？本人小白，没学过zigbee，看到楼主就连破解都会，可以教教我怎么加密吗？

楼主好像EEWORLD的罗菜鸟