Доброго времени суток! На днях, в одной из сетке, в которой я любил находить интересную инфу воткнули портал для выхода в инет. И я его не могу пока обойти. Прошу совета в поиске обхода или угона сессии. Раньше был пул адресов 192.168.1.0/24 выдавались по dhcp адреса подключившимся по шнурку и все друг друга видели по сети и мне было удобно находить инфу. Теперь втыкаешь шнурок и получаешь ип из пула 10.0.0.0/24 и браузер сам запускается(!) и открывается страничка в которую нужно вбить данные полученные от админа. После этого инет работает через NAT. Моя цель выходить в инет анонимно или пользуясь чужими данными. Что я смог выяснить про "вражеский" портал. Авторизация ( страница http://10.0.0.1) работает по обычному http, те в теории можно было бы завернуть данные через себя читай arp spoofing. Только вот не работает эта атака...((( Когда проходишь авторизацию через портал и получаешь выход в инет, то ты начинаешь видеть другие хосты в сети и имеешь возможность их пинговать и пинговать шлюз(10.0.0.1). При этом в сети я видел только шлюз, два - три хоста и свою тачку( сканил nmapом и разными способами) Wiresharkом смотрел сеть, вижу arp запросы от всех хостов в сегменте и их широковещательные запросы на адреса 239.255.255.... Если же сменить мак адрес на рандомный, то получаешь кукишь с маслом! IP по dhcp получается, но на этом всё. Портал не открывается и шлюз не пингуется. Wireshark видит в сети только arp от себя и широковещалки от других хостов. Arp от шлюза и других хостов нет. Проскакивают какие-то пакеты с адресами других сетей типа 172.168.0.0/24 или чего-то в этом роде. Но доступа до них всё равно нет. Если дождаться когда свалит какой-то хост и взять его мак - получаю аналогичную ситуацию. Страница авторизации не открывается, шлюз не пингуется. Насколько я понял, там появилась какая-то сегментация по vlan(или применён какой-то другой способ сегментации сети), потому что было хостов в старой сетке 150-170 штук. А в новой сети я видел максимум 5-6 штук. Если присвоить мак адрес хоста который сейчас в сети, то мне выдаётся такой же IP адрес, но результата ноль. Пингов нет, инета нет. Если присвоить мак адрес хоста который в сети, но IP задать вручную. Результат - ноль. Arp spoofing не приносит никаких результатов. Если авторизоваться на портале и просканить шлюз, то получаем, что эта хрень крутится на Vmware и является CentOS(со слов nmap). Коммутаторы используются Huawei s2300, они не шибко умные по функционалу. И тут мои вопросы: Что за метод юзает этот портал(как он разлочивает мак адреса)? Почему не получается использовать чужой мак? Какие варианты обхода можно ещё заюзать?
http://xgu.ru/wiki/Аутентификация_при_доступе_к_сети http://xgu.ru/wiki/Web-аутентификация_в_ProCurve Известных способов это сломать нету.
Да, действительно, Huawei s2300 поддерживает такие вещи "The S2300 supports centralized MAC address authentication, 802.1x authentication, and NAC. User information such as the user account, IP address, MAC address, VLAN ID, access port number, and flag indicating whether antivirus software is installed on the client can be bound statically or dynamically, and user policies (VLAN, QoS, and ACL) can be delivered dynamically.". Из этого можно сделать вывод что дальше порта коммутатора я ничего не увижу, но если до него стоят неуправляемые свитчи, то я смогу общаться с хостами до порта коммутатора. Те авторизация проходит на основе мак адреса и в теории если есть ещё один мак до порта, то его можно будет клонировать при условии, что сам хост с этим маком ушёл из сети. Мне интересно поведение порта, если внезапно кол-во клиентов в сети превысит 255. Как такая атака осуществляется? Дополнения по шлюзу: Nmap scan report for XXXXXXX Host is up (0.0014s latency). Not shown: 992 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 443/tcp open https 465/tcp open smtps 587/tcp open submission 3306/tcp filtered mysql MAC Address: 00:0C:29:86:6D:32 (VMware) ssh test@XXXXXX Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
