Взлом мостов Ubiquiti NanoBridge

Наткнулся я неделю назад на одну сетку в моем районе, которая была незапаролена. Сигнал сильный. Но подключиться к ней никак не мог. Просканировал эфир в режиме мониторинга через airodump-ng и нашел подключенное устройство и его MAC. Сменил мак-адрес своего адаптера на его и снова попробовал подключиться. Не вышло. Задал статические параметры в подключении. Только после этого с третьей попытки я смог подключиться к сети. Только интернета вот нет. Пробовал зайти в веб-интерфейс по умолчанию - 192.168.1.1 - не подключается. Пришлось просканировать сетку через netdiscover, он выдал мне несколько адресов, среди которых нашел адрес веб интерфейса (192.168.1.90) . Как только зашел на него, оказалось, что это не просто "соседский" роутер, а мостик NanoBridge M2 (судя по установленной AirOS). Логин и пароль по умолчанию - ubnt, видимо никто его и не думал сменить даже. Но в конфиге этого же мостика прописан шлюз 192.168.1.1. Я прописал этот адрес в параметрах подключения у себя и переподключился. Все равно интернета нет.
Пингую шлюз - не пингуется. Точнее говоря, хост как бы работает, но просто не пингуется. Через Nmap - обнаружена фильтрация портов, но хост работает, более того, удалось узнать его мак-адрес, и что это тоже какой-то NanoBridge. По веб интерфейсу на него не получается зайти. По SSH тоже.
Как из этой сетки интернет то получить?

 

Возможна такая история, что реаальные айпишники получающих инет устройств другие, в моем случае по адресам 192.168.1.x устройства находились, но тоже не работало. Посмотрел ваершарком трафик, а там айпишники диапазона 10.10.x.x . Прописал себе один из таких айпишников и инет попер.

 

Да, я еще кое-чего не дописал. Дело в том, что через NetDiscover мне выдавало кучу живых хостов из диапазона 10.X.X.X. Если честно, сам не понимаю зачем, ведь эти адреса однозначно не в этой локальной сети. Во-вторых: в этой же сети все остальные айпишники из диапазона 192.168.1.X - это, как оказалось, тоже мосты NanoBridge. Видимо схема такая - стоит один роутер-шлюз, одним концом к провайдеру подцеплен, а другие LAN порты - к передатчикам. И их там штуки 2, остальные 4 хоста - это приемники на расстоянии от 1 километра до 4. Эту инфу я начерпал из их веб интерфейса. Но тут есть один ньюанс... 2 из хостов приемника соединеняются по вай-фаю с одним и тем же передатчиком. В итоге остается один хост-приемник, которых хрен знает откуда принимает сигнал. А точнее с Nanobridge, который вроде как есть, но в локальной сети его не видно.
В общем, там какая-то непонятная разветвленная сетка.
Я надеюсь, что никого тут не запутал. Я скоро выложу то, что мне выдал NetDiscover на моем компе и команда discover (для нахождения устройств по протоколу CDP) через SSH консоль одного из мостов.

 

Вот все что накопал (под спойлерами).

Spoiler: NetDiscover

65 Captured ARP Req/Rep packets, from 15 hosts. Total size: 3864
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor
-----------------------------------------------------------------------------
192.168.0.1 d4:ca:6d:24:d6:27 01 060 Unknown vendor
192.168.1.1 24:a4:3c:34:bd:d4 01 060 Unknown vendor
192.168.1.94 00:27:22:c0:b6:d7 02 084 Unknown vendor
192.168.1.36 00:27:22:c0:b5:b8 05 300 Unknown vendor
10.0.0.1 d4:ca:6d:24:d6:27 22 1320 Unknown vendor
10.0.0.19 94:0c:6d:c4:81:49 08 480 Unknown vendor
10.0.33.1 d4:ca:6d:24:d6:27 03 180 Unknown vendor
10.0.11.1 d4:ca:6d:24:d6:27 16 960 Unknown vendor
192.168.1.14 00:27:22:e2:73:12 01 060 Unknown vendor
192.168.1.72 00:27:22:c0:cb:67 01 060 Unknown vendor
192.168.1.22 00:27:22:c0:d9:73 01 060 Unknown vendor
192.168.0.203 00:27:22:42:2e:28 01 060 Unknown vendor
192.168.0.201 00:27:22:42:2e:20 01 060 Unknown vendor
192.168.0.50 00:27:22:c2:e3:51 01 060 Unknown vendor
10.0.1.1 d4:ca:6d:24:d6:27 01 060 Unknown vendor

Spoiler: по протоколу CDP

ssh [email protected]
[email protected]'s password:


BusyBox v1.11.2 (2013-05-28 17:52:06 EEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

XM.v5.5.6# discover
Hardware Address IP address Name
24:A4:3C:9E:A8:8B 192.168.1.95 NanoStation M2 'NanoStation M2'
00:27:22:C0:d9:73 192.168.1.22 NanoStation Loco M2 'UBNT'
00:27:22:C2:E3:51 192.168.0.50 NanoStation M2 'UBNT'
00:15:6D:B0:F4:CD 192.168.0.202 LC2 'UBNT'
00:27:22:42:2E:28 192.168.0.203 LC2 'UBNT'
00:27:22:4C:27:37 10.0.0.212 NanoStation Loco M2 'NanoStation Loco M2'
00:27:22:2E:FF:1C 10.0.1.205 NanoStation Loco M2 'NanoStation Loco M2'
00:27:22:2E:FC:7F 192.168.0.204 NanoStation Loco M2 'NanoStation Loco M2'
00:27:22:CC:9B:2F 10.0.0.223 NanoStation Loco M2 'UBNT'
00:27:22:C0:B6:d7 192.168.1.94 NanoStation M2 'UBNT'
00:27:22:AA:A5:A3 10.0.0.213 NanoStation M2 'NanoStation M2'
00:15:6D:E8:BB:B2 10.0.0.202 LC2 'UBNT'
00:27:22:04:BB:62 10.0.1.204 LC2 'UBNT'
00:27:22:2E:FC:3D 10.0.1.206 NanoStation Loco M2 'NanoStation Loco M2'
00:27:22:B4:A7:60 10.0.1.202 NanoStation M5 'NanoStation M5'
00:27:22:42:2E:20 192.168.0.201 LC2 'Abs'
00:27:22:C0:CB:67 192.168.1.72 NanoStation Loco M2 'NanoStation Loco M2'
00:27:22:E2:73:12 192.168.1.14 NanoStation M2 'NanoStation M2'
00:27:22:4E:72:74 10.0.0.218 NanoStation Loco M2 '7 ubnt'
24:A4:3C:40:4F:4A 10.0.11.254 AirRouter 'AirRouter'
04:18:d6:0E:6E:08 10.0.99.98 N5B-19 'NanoBeamM5 19'
24:A4:3C:34:BD:d4 10.0.99.10 NanoStation M5 'NanoStation M5'
00:27:22:BC:25:6C 10.0.1.200 NanoStation M5 'NanoStation M5'
DC:9F:dB:84:42:50 10.0.11.101 NanoStation M5 'NanoStation M5'
00:27:22:64:4B:1E 10.0.11.100 NanoStation M5 'NanoStation M5'
00:27:22:A4:53:8B 192.168.0.51 NanoStation M2 'UBNT'
00:27:22:C0:B5:B8 192.168.1.36 NanoStation M2 'NanoStation M2'
00:27:22:22:B5:99 10.0.1.7 AirRouter 'Ubiquiti'
00:27:22:E2:72:CD 10.0.33.101 NanoStation M2 'UBNT'
Total: 29 devices.
XM.v5.5.6#

 

Видно, что в сети используется аж 7 диапазонов: 192.168.0.x, 192.168.1.x, 10.0.0.x, 10.0.1.x, 10.0.11.x, 10.0.33.x, 10.0.99.x. У диапазонов 192.168.0.x, 10.0.0.x, 10.0.1.x, 10.0.11.x, 10.0.33.x шлюзом стоит роутерборд. Там может быть инет. Хотя так сказать сложно, нужно увидеть, что летает между точками (cap файл подойдет)

А схема скорее всего такая - диапазон 192.168.1.x используется как диапазон для администрирования точек. Эти точки работают тупо как мосты. К точкам подключены устройства, у которых ip с диапазона 10.x.x.x - на них и раздается интернет. Там могут быть и точки, которые работают как wisp роутеры - по вайфаю приняли инет и в свою сеть раздали.

 

Вчера вроде через связку ettercap + wireshark гонял, вроде что-то там есть такое, выложу через 5 минут.

 

Файлик вчерашний потерял, поэтому пришлось опять посканировать. залил на яндекс диск, но потом удалю. снифал весь трафик который идет между 192.168.1.1 (шлюз) и одним из нанобриджей и вот что мне выдало.

https://yadi.sk/d/kflH48b3ggZvv

А тут собственно то, что мне выдал nmap при обычном сканировании:

Spoiler: nmap

Nmap scan report for 192.168.1.1
Host is up (0.017s latency).
All 1000 scanned ports on 192.168.1.1 are filtered
MAC Address: 24:A4:3C:34:BD:d4 (Ubiquiti Networks)

Nmap done: 1 IP address (1 host up) scanned in 21.36 seconds

 

там весь трафик между реальными клиентами бегает по адресам 10.0.0.x. Поставь себе такой ip и все должно заработать. шлюз ставь 10.0.0.1
и да, 192.168.1.1 скорее всего не принадлежит мосту, так как мосту принадлежит 10.0.99.10

 

Я попробовал подставить 10.0.0.1, но интернета все равно не было

 

свинство какое то. я даже не могу врубиться, что к чему подключено. в веб морде нанобриджна есть кнопка discovery, и там как раз выводится, что есть в сети и что к чему подключено. и ip устройств тоже выводится.

 

Согласен, я сам, если честно довольно сильно запутался

это аналог команды "discovery" на AirOS, вывод которой через SSH я выкладывал выше.

 

не совсем полный, в веб морде ещё выводится режим работы (точка или клиент), прошивка и имя сети)

 

А возможно ли, что шлюз раздает инет только заданным IP адресам?

 

Еще как может, особенно если точки используются для провайдинга. Надо поставить себе ip и mac одного из устройств в сети.

 

Поставил я значит себе айпишник одного из этих устройств и начал подключаться. Суть в том, что у меня итак к этой сети с первой попытки не подключиться, сигнал от передатчика хоть и мощный, но адаптер у меня на передачу слабоват. В дальнейшем я приспособлю для него направленную антенну какую-нибудь самопальную. Но когда айпишник сменил - он подключился чуть ли не с 20 попытки. Я потом начал все проверять - нет доступа ни в интернет, ни в веб-интерфейсы. Не открываются, не пингуются и все тут. Мне кажется, возник конфликт айпи-адресов. Я вот тоже думаю, что это провайдерская сеть. Не знаю даже в какую сторону теперь ломать

 

Да ни в какую не ломать, толку с мостов этих. Сидеть в инете с такого соединения можно только когда потухнет реальный нанобридж, чтобы забрать его мак и айпи себе. а он не потухнет. с ip без разрешенного выхода в интернет можно только гулять по сети, толку с этого тоже 0, разве что узнать где мосты стоят и кому они дают инет. скорость тоже не малина, от соседской точки с паролем от 1 до 8 скорость в разы лучше будет.

можно в принципе прописать себе айпи без мака, а мак любой от балды поставить. ip взять от компа в сети, посканить регулярно локалку утром и вечером например, чтобы узнать, какой хост отрубился и забрать его ip себе.

 

Забыл упомянуть один из немаловажных фактов: у этих мостов через SSH тоже ничего не пингуется, кроме адресов в локалке. Логически получается, что толку от того что я даже чей-то айпишник перехвачу не будет. Может там какая-то авторизация другая действует? Или там вообще интернета нет? Для чего эта сетка тогда может быть использована, по вашему?
P.S. Я думаю что надо мне просто собрать биквадрат ну или даже ФА-20, попробовать отпеленговать их расположение. Кроме того, стоит на несколько часов продампить весь их трафик и посмотреть че там еще есть. Мне, если честно, уже даже не особо важно есть там выход в интернет или нет, просто крайне интересно узнать структуру этой сети и что-то еще поломать

 

Возможно я ошибаюсь, но возможно в этой сети доступ к инету определяется посредством просто принадлежности к определенному vlan? т.е вы просто находитесь в каком то 'гостевом' vlan и видите все их пулы которые они выделили для своих целей.

PS: Если я верно понял то в любой AIR OS показывается расстояние до другого устройства к которому вы подключены.

 

Насчет VLAN - надо проверить. А по поводу расстояния - да, отображает, об этом я уже выше упомянул.

 

Интересная у вас беседка.

Вы только учтите так, на всякий случай, что в сетке может и не быть интернета. Вполне себе валиком закрытых сетей, которым интернет для функционирования не нужен.