Leaderboard

Sql_err404

Cu toate ca retelele wireless securizate prin criptare WEP nu mai sunt considerate sigure pentru ca prezinta anumite vulnerabilitati, va asigur ca in anumite cazuri nu se poate sparge nici criptarea WEP chiar atat de usor, insa avem mai multe optiuni. Tocmai din cauza securitatii scazute aceste retele nu mai sunt asa de comune cum au fost acum cativa ani, dar inca mai pot fi intalnite chiar si in orasele mai mari, ca sa nu mai vorbim despre locuri mai ascunse unde utilizatorii nu sunt tocmai la zi cu cele mai noi tendinte din securitatea IT. In ultima vreme apar routere din ce in ce mai sofisticate, care pot oferi securitate chiar si utilizand criptare WEP, daca sunt bine configurate si administrate, asa ca sa nu va surprinda nici situatia cand nu reusiti sa va conectati la o retea criptata cu WEP. Dar haideti sa vedem metoda cea mai eficienta si sigura de a sparge criptarea WEP, dupa parerea mea. In acest tutorial voi folosi sistemul de operare Gentoo Linux, si cateva utilitare pe care le voi prezenta succint. Unelte de care avem nevoie - o placa de retea wirelss care suporta injectarea de pachete (eu am folosit BroadCom WiFi Link 5100); in anumite cazuri este nevoie sa aplicati un patch la driverul de placa de retea wifi pentru a putea injecta pachete. - programul aircrack-ng care contine: aircrack-ng, airodump-ng, aireplay-ng – recomand sa descarcati ultima versiune a programului, si sa-l compilati local, pentru ca in majoritatea distributiilor nu veti gasi ultima versiune a programului; (in aceasta dremonstratie eu voi folosi versiunea 1.1 - o retea wireless cu criptare WEP, care sa nu fie prea departe (in caz contrar este posibil sa decryptati cheia wep, dar sa nu reusiti sa va conectati la retea) – asta e din cauza ca routerele au o putere de transmisie mai mare decat o placa de retea wireless. - un client conectat la reteaua respectiva, altul decat tau. Teoria Cum functioneaza acest tip de atac? Relativ simplu: seamana cu un fel de ARP poisoning. Prima data punem placa wireless in “monitored mode” pentru a putea captura si injecta pachete. Scanam reteaua, notam BSSID-ul retelei pe care vrem sa o spargem si adresa MAC a unui client conectat la aceasta retea. Capturam pachetele transmise intre clientul conectat si AP (AccessPoint, adica router). Dupa ce am capturat cateva pachete, oprim salvarea pachetelor si folosim pachetele capturate pentru injectare. Ce inseamna injectarea? Trimitem pachetele capturate catre AP in numele clientului si astfel generam trafic ARP, care va determina routerul sa genereze mai multe IV-uri (Initialization Vectors) de care avem nevoie pentru decriptarea cheii WEP. Salvam pachetele ARP, atat cele trimise, cat si cele capturate. Monitorizam traficul pana cand adunam o cantitate de date suficienta pentru a sparge parola. Dupa ce am asteptat si am salvat pachetele ARP, oprim capturarea pachetelor, care va rezulta in obtinerea unui fisier cu extensie cap. Cu ajutorul programului aircrack-ng acum vom reusi sa decriptam cheia WEP, daca am monitorizat destul de mult timp traficul si daca intre client si AP era intr-adevar si trafic. Dupa ce am obtinut cheia WEP, pur si simplu putem sa ne conectam la AP, adica vom avea internet sau vom fi o parte a retelei wireles, ba chiar vom putea scana si calculatoarele conectate la routerul respectiv. Atentie, la acest tip de atac neaparat trebuie sa capturam traficul intre cel putin un client conectat si AP. Cum se face 1: Pornim placa de retea wireless in “monitored mode”: istvan@it $ airmon-ng stop wlan0 istvan@it # airmon-ng start wlan0 2: Scanam reteaua istvan@it # airodump-ng wlan0 http://imageshack.us/photo/my-images/707/96666608.png/ 3: Notam BSSID-ul retelei, notam ESSID (adica numele retelei), si adresa de MAC a unui client conectat la AP! 4: Capturam pachetele transmise intre clientul conectat si AP! Prima data capturam un arp reply, dupa care trimitem si noi pachete ARP copii ale pachetului capturat, apoi iarasi capturam pachetele ARP. 1: aireplay-ng -3 -b 1C:BD:B9:C1:BA:AE wlan0 2: aireplay-ng -3 -b 1C:BD:B9:C1:BA:AE -h 00:18:DE:6F:65:16 -r replay_arp-0602-133453.cap wlan0 -3 = standard ARP-request replay -b = BSSID, MAC address, Access Point -h = source MAC, (se recomanda a fi adresa MAC a clientului conectat) -r = citirea pachetelor din fisierul pcap 5: Oprim capturarea pachetelor cam dupa un minut, apasand Ctrl+c 6: Trimitem pachetele capturate catre AP specificand sursa MAC a clientului conectat! istvan@it # aireplay-ng -2 -h 00:18:DE:6F:65:16 -r replay_arp-0602-133453.cap wlan0 The interface MAC (00:16:EA:56:72:A4) doesn’t match the specified MAC (-h). ifconfig wlan0 hw ether 00:18:DE:6F:65:16 http://imageshack.us/photo/my-images/26/40216623.png/ Tastam Y pentru selectarea si trimiterea pachetelor catre AP, si lasam deschisa consola respectiva aproape pana la finalizarea atacului. . -2 = interactive frame selection 7: Pornim un terminal nou si executam comanda pentru salvarea pachetelor ARP. istvan@it # aireplay-ng -3 -b 1C:BD:B9:C1:BA:AE wlan0 No source MAC (-h) specified. Using the device MAC (00:16:EA:56:72:A4) 15:46:14 Waiting for beacon frame (BSSID: 1C:BD:B9:C1:BA:AE) on channel 11 Saving ARP requests in replay_arp-0602-154614.cap You should also start airodump-ng to capture replies. ^Cad 64 packets (got 0 ARP requests and 0 ACKs), sent 0 packets…(0 pps) Asteptam sa primim respunsuri ARP, lasand deschisa consola. 8: Deschidem o consola noua, si capturam raspunsurile ARP istvan@it $ airodump-ng -w wep -c 11 –bssid 1C:BD:B9:C1:BA:AE wlan0 http://imageshack.us/photo/my-images/685/52851353.png/ Asteptam pana ce la #Data vedem cel putin 50000, dar cu cat asteptam mai mult, cu atat sansele de reusita sunt mai mari. Cu cat colectam mai multe pachete care contin, bineinteles, mai multe IV-uri, cu atat sunt mai mari sansele ca algoritmii din aircrack sa poata descifra cheia WEP. Cand am scris acest tutorial, am asteptat pana ce am capturat 160000 de pachete. 9: Oprim cu ctrl+c airodump, si astfel, in directorul respectiv, de unde am pornit airodump, vom avea un fisier numit wep-01.cap. 10: Decriptam cu aircrack-ng cheia WEP. istvan@it # aircrack-ng wep-01.cap Asa arata o cheie WEP: http://imageshack.us/photo/my-images/515/16160594.png/ Dupa cum vedeti cheia WEP a fost aflata, si in ASCII este “istva“. Aceasta retea a fost creeata de mine, ca exemplu pentru aceasta demonstratie. Nu ma intelegeti gresit, prin acest tutorial nu incurajez pe nimeni sa atace retelele WEP ale vecinilor. Mai sunt si alte metode prin care se pot ataca retelele wireless. Foarte probabil ca in viitor voi mai demonstra si alte situatii, si voi oferi informatii referitoare si la posibile atacuri impotriva retelelor wpa/wpa2. Tocmai din aceasta cauza firmele mari si serioase nu conecteaza retelele importante la internet si nici nu dau acces la reteaua interna prin wireless. Glosar ESSID = (Extended Service Set IDentifier), numele retelei, care este de obicei format din caractere normale, litere BSSID = (Basic Service Set IDentifier), adresa MAC a routerului, a AP (Access Point) AP = (Access Point), de obicei un router, sau un alt calculator cu placa de retea wireless care ofera posibilitate de conexiune wireless “multi la unul” IV = (Initialization Vectors)

Shhhh haideti sa va zic un secret, dar sa nu mai spuneti la nimeni, se pare ca deasupra mea sunt niste hiecari profesionisti! @Irk: in lista mea de Eroi PRO 1336.9 H!3c4r! esti pe locul 2, deoarece pe locul 1 poate fi doar "shark0der".

Secuzizarea punctului de acces (Access Points(AP)) al paginii web a router-ului tau si Telnet-ul sau accesul SSH ar trebui sa fie considerat o parte din strategia de securitate generala, nu numai la birou cat si acasa. De ce? Pentru a impiedica alt user care este conectat la retea sa modifice, sa incurce, sau sa editeze configuratiile routerului tau. Unii useri pot profita de privilegiile administrative la reteaua ta daca securitatea poate fi evitata usor sau exploatata de tehnici simple pe care orice copil o poate face. Voi enumera cateva dintre tehnicile pe care cei mai multi dintre atacatori le vor folosi in scopul accesarii si exploatarii vulnerabilitatilor in unele router. 1. Implicit, Comun, si parole slabe Unele routere au username-uri si parole usor de ghicit, sau inca le folosesc pe cele implicite. Cateva combinatii: admin : pass admin : password admin : root admin : admin admin : jake admin : rose admin : secret admin: administrator root: administrator root : root root : admin root : password root : toor root : iloveyou root : access root : pirate root: secretpass root : acess user : user guest : guest Deci daca un user se intampla sa initieze un atac de tip brute force pe login-ul unui astfel de router, doar folosind o lista simpla de cuvinte compilata din cautarea diferitelor login-uri implicite de la diferite routere. Daca inca iti amintesti de, ‘Silly Routers Release’ al Lulzsec care includea SSH sau Secure Shell logins, si falsul AnonPH`s. Silly Routers Release and SSH Logins ( http://www.itac.com.ph/portals/0/anonph.txt ). In analiza pe care am facut`o, aceste doua grupuri folosesc SSH scannere in masa ce pot fi UNixcod, PIata, sau GSM SSH Scanner bazat pe urmatoarele login-uri: root : root cezar : cezar root : admin admin:admin guest:guest iscadm:sparks staff:staff web : web nurse : nursing Acest lucru suna simplu, deoarece este, dar nu putem nega ca unii utilizatori nu se gandesc prea mult la prolele ce le folosesc, sau poate ei nu stiu cum sa isi configureze router-ul, si poate nu se gandesc la posibilele riscuri. Cateva site-uri unde poti gasi ceva parole implicite: Default Passwords | CIRT.net Default Password List Default passwords list - Select manufacturer Big bertha says: default passwords default password Virus.Org Default Password List - Submit 2. Intrand fara autorizatie A venit odata timpul cand am decis sa verific port-urile deschise ale CD-R King IP04166 Wireless-N-ului meu de acasa si porturile 23 care sunt pentru acces telnet, si portul 80 pentru a accesa pagina web a Acces POint-ului, dar avea o parola(grrr!). Sunt port-uri bune pentru a verifica posibilele intruziuni daca atacatorul stie ce exploit-uri sa foloseasca. Si deoarece port-ul 80 avea o parola, si brute force parea o pierdere de timp, am decis sa verific pe port-ul 23: shipcode@projectX:~ telnet 192.168.10.1 OK, am fost in stare sa fac telnet la gateway-ul implicit al router-ului dar...NU M`A INTREBAT NIMENI PE MINE pentru vreo informatie de login sau autentificare. Deci daca user-ul nu poate accesa pagina web a AP-ului, atunci el poate profita de acest privilegiu sa caute parola paginii web. Acum, sa uitam de parolele implicite sau slabe, pentru ca este pea EPIC. Un router care permite oricarui utilizator din retea sa se conecteze la gateway-ul implicit fara o verificare. Dupa cum puteti vedea in imaginea de mai sus, am scris "ls -la" care listeaza toate directoarele din directorul root. Ia ca exemplu, uita`te in /bin unde poti vedea toate programele comune, impartasite de program, administratorul sistemului sau utilizatorii; atacatorul poate gasi cate ceva important aici. Asta poate fi posibila si pe alte routere de asemenea. 3. Aplicatiile web vulnerabile pe pagina web a Acces Point-ului Unele routere nesecurizate au aplicatii web care pot fi vulnerabile la SQLi, LFI, LFD, XSRF, si multe altele. Craig Heffner, autorul reaver - spune ca "milioane" de routere de acasa, sunt vulnerabile la atacurile web. Anul trecut, m`am putut juca cu router-ul meu Huawei-ul bm622, si este una dintre jucariile mele preferate de acasa. De fapt sunt multe tutoriale despre cum sa "pentrezi" un astfel de router. Poti accesa router-ul chiar de pe port-ul 80 punand gateway-ul implicit al router-ului in browser. In mod normal, gateway-ul implicit este 192.168.1.1 si te poti loga ca user:user dar fara privilegii de aministrator. Poti vedea doar starea conexiunii, adres mac a WAN-ului, adresa mac a LAN-ului, BSID, etc. Insa este destul de usor sa iei parola care iti ofera privilegii de aministrator. Acest tip de router este vulnerabil la LFD(Local FIle Disclosure). Tot ce ai de facut este sa vezi sursa link-ului (Ctrl + U) : 192.168.1.1/html/management/account.asp. Dupa ce ai vazut sursa, trebuie doar sa cauti linia asta: var UserInfo = new Array(new stUserInfo(“InternetGatewayDevice.UserInterface.X_ATP_UserInfo.1? Atacatorul ar trebui sa fie in stare sa vada username-ul si parola administratorului care arata ca una cryptata insa nu este, este parola care de obicei e un pic cam lunga. Parola de obicei incepe cu 200000. Acum te poti loga la router folosind admin ca username si 2000**** ca parola. Incruciseaza`ti degetele si ar trebui sa functioneze! 4. Inauntrul sitemului In cele din urma, daca ai acces shell-ul router-ului cu web page-ul Acces Point-ului atunci poti gasi o cale pentru a`ti folosi acest avantaj pentru a cauta parola sau informatii despre cont. Acum revenind la acces-ul meu la CD-R King IP04166 Wireless-N-ul meu de acasa fara a necesita autentificare, oare ce se se va intampla daca decid sa verific sub-directoarele sistemului. Atunci am intrat in directorul /var folosind comanda : ls -a Daca te uiti atent peste imagina ar trebui sa vezi un fisier '.htpasswd', acum sa incercam sa verificam acel fisier folosind comanda: cat .htpasswd .htpasswd contine parola accountului paginii web a acces point-ului. Acum sa incercam sa ne autentificam pe pagina web a AP-ului folosind aceste informatii: #nimda:sudo910aPt Yey, am intrat in pagina web a router-ului meu. Inca cateva chestii peste care te`ai putea uita sunt fisierele .db, .conf si .cfg sau ceva comenzi shell ce pot arata parola. O alta jucarie cu care m`am putut juca este routerul Huawei bm622i (succesorul bm622) dar care nu mai este vulnerabil la LFD pe 192.168.*.*/html/management/account.asp. Din cauza noii interfete, scripturilor si firmware-ului. Dar are slabiciunile lui, ce ii permite atacatorului de la distanta sa obtina privilegii de administrator. Desi te poti autentifica pe HTTP-ul routerului si sa folosesti user ca username si parola, dar nu iti da privilegii de administrator. Am fost foarte curios cum sa obtii acces de administrator pe acest router. De fapt, este un tool in zilele noastre ce generaza parola adminului dupa ce ii procuri adresa mac. Dar nu sunt sigur daca este atat de efectiv in realitate totusi. Privilegiile de administrator iti permit sa editezi setarile avansate ale routerului cum ar fi setarile VOIP, mac filtering, SSH si accesul Telnet, QoS, etc. A venit o perioada in care am decis sa arunc o privire peste shell-ul routerului prin intermediul telnet-ului gateway si login-ul: wimax:wimax820. Dupa ce am scris sh, si acum sunt in shell... "Hello Busybox again!" . Am mutat in in directorul /bin din nou, folosind comanda ls -la din nou. Am putut vedea o comanda care este cmd, si am fost foarte curios ce e cu ea si am executat`o dupa care scripturile au aparut si am vazut urmatoarea linie: username=200*. Am gasit parola (NU am inclus adresa de mail desigur) a router-ului meu. Si am incercat sa folosesc parola pe care tocmai am vazut`o ca sa ma autentific ca admin. Si.. a mers! Sunt de asemenea tool-uri bune pentru verifica imaginea firmware-ului router-ului, extractand firmware-ul in componentele sale, apoi extragand imaginea file system-ului. Asta permite utilizatorilor, sa faca modificari fara a recompila sursa firmware-ului. Tool-ul se numeste Firmware Mod Kit care a fost dezvoltat de Jeremy Collage si Craig Heffner. Acesta poate fi folosit pentru a verifica vulnerabilitatile unui anumit router la care nu ai acces inca. Tool-ul include binwalk care arata layout-ul firmware-ului. Poti descarca tool-ul de aici: firmware-mod-kit - This kit allows for easy deconstruction and reconsutrction of firmware images for various embedded devices - Google Project Hosting De exemplu, vreau sa extrag imaginea de la Trendnet v1.10 Build: 12 ce poate fi descarcata de aici: TRENDnet | Downloads | Wireless | TEW-654TR, folosind comanda: ./extract-ng.sh TEW-654TRA1_FW110B12.bin Daca extractia firmware-ului este completa si cu succes, ar trebui sa poti sa vezi partile firmware, in directorul fmk. Si poti acum lista directoarele si sa cauti continutul de care ai nevoie. Happy Exploiting! Referinte: Blog | /dev/ttyS0 | Embedded Device Hacking Hacking into the BSNL Router using Andriod | www.SecurityXploded.com Bugtraq: D-Link DIR-300 authentication bypass "Millions" Of Home Routers Vulnerable To Web Hack - Forbes CD-R King IP04166 Wireless-N Router Not Secured Even Though Web Page AP Has a Password | The ProjectX Blog – Information Security Redefined Huawei bm622i Administrator Password Disclosure | The ProjectX Blog – Information Security Redefined Tradus din: InfoSec Resources – Simple Router Pawning Techniques – Getting the Administrative Privileges