Нагибаем на халявный Wi-Fi буржуйский гостиничный хот-спот

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by user100, 21 Jul 2014.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    Нагибаем на халявный Wi-Fi буржуйский гостиничный хот-спот

    На форуме периодически возникал вопрос о получении доступа к wi-fi через hot-spot с авторизацией на web - интерфейсе.Такие хот-споты встречаются в гостиницах, бизнес –центрах и кафе. В данном конкретном случае пойдет речь о получении доступа к хот-споту в одной буржуйской гостинице.
    Сразу оговорюсь, что поднятия всяких «evil twins», «fake AP» и прочих сложностей для получения пары login-password не потребовалось. Но обо всем по порядку.

    На сайтах типа tophotels.ru, booking.com и т.п. в описании выбранной мною гостиницы значилось, что wi-fi в номерах предоставляется бесплатно. Но как оказалось на самом деле, буржуи за wi-fi хотели денег:
    [​IMG]
    И не то что бы сумма в 35 евро за била по бюджету, но раз уж заявлен бесплатный wi-fi, значит, он должен быть бесплатным.

    И так, решено было добыть у буржуев доступ к wi-fi «на халяву». Поскольку с собой был нетбук и флэшка с linux (XiaopanOS) и пакетом программ aircrack-ng на борту, то нагнуть буржуев на бесплатный internet сам Бох велел.

    Первое, что я сделал – это просканировал с помощью airodump-ng сети которые были в округе:

    (Чтобы не возиться в терминале и не писать команды ручками, была использована программа «feeding bottle» - она же в простонародье «бутылочка»):
    [​IMG]
    Поскольку сети гостиницы были открытым (Open) - на этапе подключения к сети проблем не возникало. Но подключившись к wi-fi – при запросе любого сайта пользователь получал редирект на гостиничную web-страничку с ip 192.68.10.250, с предложением купить себе немного internet или авторизоваться по паролю/логину:
    [​IMG]
    Не беда, смотрим исходный код страницы с авторизацией:
    [​IMG][​IMG]
    И что мы здесь видим? А то, что пара - логин /пароль передается обычным http POST запросом, без использования SSL шифрования и каких либо хешей.

    Теперь получение логина/пароля - дело терпения и времени. Для этого ставим airodump-ng на захват пакетов от наших открытых сетей и пишем их в CAP файл.
    [​IMG]
    Наловив достаточно пакетов, открываем сохраненный CAP-файл в wireshark и выполняем сортировку по http пакетам а так же поиск по фразе «pass» или «username» которая присутствует в исходном коде страницы авторизации.

    Сперва в захваченных пакетах попались регистрационные данные постояльцев – Фамилия и номер комнаты.
    [​IMG]
    Этого в принципе хватало для того что бы оплатить, за чужой счет, себе интернет, попить коктейлей в баре или затариться на сумму до 300 евро в местном супермаркете, но творить такой black и портить другим людям отпуск совсем не хотелось.

    Было решено отловить пароль/ логин выдаваемый отелем для конференций и корпоративного доступа (См. скриншот с исходным кодом хот-спота).

    Поиск был продолжен еще не много – и вот мы имеем парольную пару к корпоративному интернету(username=345&
    password=46545)
    :
    [​IMG]
    Выводы:

    - Все оказалось довольно тривиально, но в большинстве случаев на практике, если это не банковские сети, дела с хот-спотами обстоят примерно так и выдумывать велосипед для получения доступа к интернету не придется.

    - Так же при открытом wi-fi трафике, отсутствии шифрования авторизации и хеширования паролей, в этой буржуйской гостинице не следовало покупать интернет из соображений безопасности, поскольку для всех, кто был подключен к wi-fi сети светились ваши фамилия и номер комнаты, а этого достаточно чтоб повесить на Вас крупную сумму за платные услуги (поскольку именно фамилия и номер комнаты требовались для оплаты услуг в кредит).

    - Получив корпоративный логин/ пароль мы не кидаем на деньги постояльцев и спокойно смотрим кино скаченное с торрентов.
     
    _________________________
    #1 user100, 21 Jul 2014
    Last edited: 27 Jul 2014
  2. sobaric

    sobaric New Member

    Joined:
    10 Dec 2011
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    С этим все понятно. А как этот срубить пароль.
    [​IMG]
     
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    Это уже совсем другая тема - на скрине WPA-Enterprise и он довольно хорошо защищен от взлома.
    Можете сдесь почитать:
    https://forum.antichat.ru/nextnewesttothread355664.html
     
    _________________________
    #3 user100, 23 Jul 2014
    Last edited: 23 Jul 2014
    1 person likes this.
  4. Lookas

    Lookas New Member

    Joined:
    8 Jan 2013
    Messages:
    12
    Likes Received:
    4
    Reputations:
    0
    Если не секрет, какая модель нетбука использовалась?
     
  5. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    Был использован ASUS Eee PC 1025C с Wi-Fi на чипсете Atheros на борту.
     
    _________________________
  6. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Вай-Фай спот поймал на этой нищебродской сране? Да или Нет?

    Как долго смог удержать связь? - Залогинился и тебя выкинуло сразу? Да.

    Отвечай!

    upd
    Топик сохранил и будет показан.
     
  7. mff

    mff Elder - Старейшина

    Joined:
    12 Mar 2008
    Messages:
    2,074
    Likes Received:
    701
    Reputations:
    227
    Без линя под рукой можно что то сделать?
     
    2 people like this.
  8. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    Блиц - хватит разводить флуд и офтоп в теме. Ты по русски читать умеешь? Ответил уже выше на чем и чем ловил. Сигнал был отличный, скачал кучу фильмов с тррентов. Обоснуй свои претензии к данной модели нетбука.
    p.s.
    Всё не относящееся к теме буду тереть нещадно.

    Без линя в ход идет ARP спуфинг с тем же перехватом пакетов wireshark , но это более палевный способ.
     
    _________________________
  9. sobaric

    sobaric New Member

    Joined:
    10 Dec 2011
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    user 100, напиши отдельную команду для канала а то не хочится собирать все в cap файл.
    за рание спасибо.
     
  10. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    ОМГ. Показал и рассказ, как заходить в Вай-Фай в странах EC.
    Нет, всё равно буду делать через нагибательстьво буржуинов.
     
  11. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    Добавите команду "--channel" и укажите нужный вам канал, например:
    airodump-ng mon0 --channel 1 --w /root/cap
     
    _________________________
  12. J()KER

    J()KER Member

    Joined:
    17 Aug 2013
    Messages:
    132
    Likes Received:
    42
    Reputations:
    0
    или просто -с и номер канала
     
  13. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Подойдет как заметочка о летнем отдыхе. Однако, откуда уверенность в том, что приведенный вами логин является администраторским? Выглядит как обычный room number. Более того, можно было пойти дальше и раскукожить роутер, поколдовав с тарифами и маршрутами, поставить пару бекдоров.
     
  14. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    Статья не претендует на раскрытие всех возможностей которые можно было творить в сети wi-fi и с роутерами, цель была получить доступ в internet и она была достигнута.

    Про то, что логин является "администраторским" я не говорил, указанный мной логин является "корпоративным" - так как авторизация проходит через страницу "Conference and Buisnes Event"

    Авторизация же простых жителей отеля происходила через другую авторизационную форму , где требовалось указать username и roomnumber. Пароль при этом не выдавался, а привязка и допуск к internet шли через MAC адрес устройства.
    Запрос выглядел так:

     
    _________________________
  15. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    То есть, проще говоря, вы выставили не физика, а юрика?
     
  16. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    Главное отличие в способе оплаты: У "юриков" это предоплата, т.е. они сами уже оплатили интернет и денег за дальнейшее пользование с них не взимается.А у "физиков" - интернет предоставятся в кредит...то есть с них бы взяли денег при выезде с отеля.
     
    _________________________
  17. BlackIce

    BlackIce Elder - Старейшина

    Joined:
    10 Jan 2013
    Messages:
    100
    Likes Received:
    31
    Reputations:
    27
    Статья доставила, спасибо.
    ТСа в РОА. Очень достойный кандидат с нестандарным ышлением и подходами.
     
  18. -EO-

    -EO- New Member

    Joined:
    13 Nov 2012
    Messages:
    35
    Likes Received:
    0
    Reputations:
    0
    Спасибо большое за статью!
    А как с этим зубром бороться?
    [​IMG][/url][/IMG]

    и
    [​IMG][/url][/IMG]
    Доступ в сеть по 12-тизначному цифровому коду, который вводиться в поле username/pin, в поле password ничего не вводиться.
     
    #18 -EO-, 18 Sep 2014
    Last edited: 18 Sep 2014
  19. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,485
    Reputations:
    377
    А в чем сложность? Насколько вижу из первого скрина - строка авторизации передается в открытом виде, соответственно перехватив Refer, можно авторизоваться через неё.
     
    _________________________
  20. {iddqd}

    {iddqd} Member

    Joined:
    22 Dec 2011
    Messages:
    170
    Likes Received:
    99
    Reputations:
    2
    сорри за оффтоп, а как мне разблокировать каналы для взрослых в гостинице? будопешт
    просто не хачу платить и палитса
    как нибудь за чужой счет подрубится, реал тема?