21 nov 2013

Hacking WiFi - Parte 4 - Ataques Hotspot: Obligando a la victima a conectarse a mi

Vamos a crear un Soft AP. Es un AP creado a partir de un software en nuestra tarjeta de red, ya sea la propia del ordenador, o la que hemos conectado por USB con capacidad de inyectar trafico (si no es capaz de inyectar la tarjeta, no seremos capaces de desautenticar a la víctima del AP legitimo). Habrá pasos que de por obvios porque ya se han tocado en partes anteriores de la serie.

Lo que haremos será  desconectar a la victima de la red abierta a la que está conectada para que se conecte a la nuestra que tendrá el mismo nombre, y de esta forma no notará nada. Para hacer esto primero mandaremos paquetes de De-Autenticación al AP legítimo para que la victima se desconecte, y después crearemos un AP abierto con el mismo nombre para que el dispositivo de la víctima se conecte a nosotros.

Una vez está conectado a nosotros podemos redirigir su tráfico al AP legitimo y asi estar de MITM capturando todas sus comunicaciones, o directamente dejarlo salir a internet.

Comencemos con la parte práctica:

# airmon-ng start wlan1

# airodump-ng mon0

Y me pondré el ESSID del AP abierto. El AP lo vamos a crear con la herramienta Airbase-ng. Hay que hacerlo en la interfaz en modo monitor.

# airbase-ng -a AA:AA:AA:AA:AA:AA -e <nombre_AP_falso> mon0

Podemos ver el mensaje que dice que ha creado una interfaz at0 (que sería la equivalente a la interfaz de cable que tiene un AP, es decir, un AP tiene la interfaz Wi-Fi por donde emite y se conectan los clientes; y tiene otra interfaz de cable por donde el AP se conecta a internet). Pero esta interfaz at0 no está levnatada, si quisiésemos capturar el tráfico que pasa por aquí, es decir el de la víctima tendríamos que activarla nosotros mismos:

# ifconfig at0 up

Ahora forzaremos al cliente que está conectado AP legítimo, que se desconecte de este generando unos paquetes que se llaman de Desautenticación que sirven para desautenticar a la víctima.

# aireplay-ng --deauth 0 -a <mac_AP> mon0

¡Para esto debes de estar en el mismo canal que el AP! Entonces lo que haremos será poner nuestra interfaz wlan0 y mon0 en el mismo canal que el AP legitimo, para poder hacer el ataque de de-autenticación.

# iwconfig wlan0 channel 11

# iwconfig mon0 channel 11

Y podemos ver como nos aparece que se ha conectado alguien a nuestro Soft AP.

No tenemos servidor DHCP configurado en nuestro Soft AP, entonces la víctima no puede recibir una direción IP, por lo que al cabo del tiempo se autoconfigura con una IP del tipo 169.X.Y.Z puesto que nadie le ha dado una IP. En mi caso particular la victima es el Iphone con el ultimo IOS y no aparecería el simbolito de que estamos conectados a una red Wifi puesto que no tenemos aun conexión a internet, pero si nos vamos a la configuración de la red podemos ver como efectivamente tenemos una dirección IP de ese tipo.

Lo que haremos será ponernos en nuestro ordenador una IP de este rango a la interfaz at0:

# ifconfig at0 169.254.174.226 netmask 255.255.255.0 up

Y si le hacemos un ping a la victima, veremos que nos responde =) Es decir, podríamos hacer hacerle Information Gathering, un Analisis de Vulnerabilidades, etc.

Más adelante veremos como darle conexión a internet a la víctima par estar de MITM.

Con este miso método se podrían realizar ataques a clientes que no estén conectados a ninguna red. Cuando estos pregunten por una red abierta con los paquetes probe request (con una red en especifica), tan solo tendríamos que crear esta misma red, de esta forma el dispositivo se conectaría a ti.

podemos ver como determinados dispositivos están preguntando por determinados APs, que si fuesen abiertos podriamos crearlos y ya tendríamos al dispositivo conectado a nosotros sin que la víctima se diese cuenta! Por seguridad las ultimas versiones de los sistemas operativos ya no utilizan los probes request con un AP en especifico para evitar este ataque, hacen el probe request al broadcast y son los AP los que contestan los probe responses indicando de su presencia.La primera vez que te conectas a un punto de acceso, se te añade el ESSID a tu lista de redes WiFi. Y siempre que el cliente se encuentre con este punto de acceso se conectará automáticamente a él sin preguntar nada al usuario, a no ser que lo configures para que te pregunte cada vez que hay una posibilidad de conectarte (RECOMENDADO!).

Gracias a esto se va generando una tabla de puntos de acceso y contraseñas. El cliente automáticamente mandará paquetes probe request para ver si encuentra redes Wi-Fi de su lista.

Las redes que tiene almacenadas el cliente pueden ser de 3 tipos:

- Sin autenticación - WEP - WPA/WPA2

Cada uno de ellos tendrá una forma distinta de hacer que el cliente se conecte a ti. Por ahora hemos visto el caso en el que la red sea abierta.

El problema es que el cliente no autentica que el AP es el que dice ser, es decir, que no comprueba si el AP es el legitimo o es un atacante. Entonces cualquier puede poner un AP con el nombre por el que el cliente está preguntando.

Artículo cortesía de Roberto (@leurian)

No hay comentarios:

Publicar un comentario