./autopwn

Eigenlijk loop ik al langer te spelen met dit onderwerp, maar ik kan niet echt besluiten of het spannend genoeg is om tijd aan te besteden. Dat en luiheid, vooral luiheid. Maargoed, nu dan toch.

Ik denk dat de meeste mensen ondertussen wel bekend zijn met het prachtverschijnsel WiFi (wat kort is voor "Wireless Fidelity" maar toch ook niet). Wat vooral onwijs handig is, is dat er op veel plekken "gratis" openbare hotspots worden aangeboden. Nu denk je natuurlijk: "Ja, pff, ga anders nog even lopen miepen over het gebrek van encryptie, huilie". Maar neen! Dit stukje gaat meer over zakkenrollen dan over afluisteren.

Vertel Bert, vertel..
Het leuke is dus, dat apparaten 99 van de 100 keer onthouden met welke access points ze ooit verbonden zijn. Lekker belangrijk, zul je denken, maar zolang ze geen verbinding hebben met een ander access point (En zelfs dan soms nog, those cheating bastards), zoeken ze naar alle access points uit het lijstje. Wat voor nog meer vermaak zorgt, is dat elke jongeman (of vrouw) met een handigheid in techniek, en dan vooral computers dit kan zien. Mits in bereik natuurlijk. Zie hier:



"Grote neukende overeenkomst", hoor ik je denken. Nou ja, je kan er natuurlijk bij sommige mensen redelijk goed aan zien waar ze bijvoorbeeld allemaal uithangen, en hoe het WiFi netwerk thuis heet (Wat misschien inzicht geeft in een denkwijze, weet ik 't). Maar het echte spannende is als je netwerk namen ziet verschijnen als:

• KPN
• Free-hotspot.com
• $randomhotel-guest
• Belgacom
• Gastwifi
• etc..

Maar, waarom dan?
Omdat de lieve apparaten niet alleen zoeken naar die netwerken, maar ook vaak verbinden mits het type encryptie overeen komt. En dan is het opeens wel spannend dat ze dat niet gebruiken, want dan kan je natuurlijk ook gewoon zelf een nep access point opzetten.

Pff, zo technisch ben ik niet
Gelukkig is het niet zo moeilijk. Iedere malloot met backtrack kan het. Daarin zit namelijk de mooie tool: SET (Of "Social Engineer Toolkit"). Je loopt een mooie wizard door, en voor je het weet, profit:



Opzich kan je zelf al een beetje uitzoeken wat het doet, aan de hand van de tekst. Maar de TL;DR versie is:

• Kijk naar welke netwerken gezocht wordt
• Maak neppe access points aan met al die namen
• Zorg dat iedereen kan verbinden en internet toegang heeft
• Onderschep al het verkeer

Goed, omdat ik niet mijn hele straat op m'n dak wil hebben aan het einde van dit blog, doe ik het liever even zelf. Paar minuten later, draait er een Access Point met de naam KPN, en een DHCP server om voor de IP's te zorgen:




Wifi op m'n tablet aan, wanneer plots:




En ik kan vrolijk internetten op m'n tablet.

Goedzo, je bent nu een gratis internet provider. En nu?
Verkeer sniffen. Soms zegt een simpel plaatje gewoon meer



Het enige probleem is die vervelende SSL versleuteling. Het enige wat je daarvan ziet is:



De trouwe tweaker ziet hier een verzoek naar facebook, wat eigenlijk direct met een 302 een omleiding krijgt naar de HTTPS variant. Vervolgens zie je alleen garbage.

Enter SSLstrip
Zoals de woorden hierboven doen vermoeden, is er een oplossing voor: sslstrip. Het idee is simpel. Al het normale web verkeer loopt via ssltrip, totdat deze een omleiding tegenkomt naar https. ssl strip zet zelf de SSL verbinding naar de doelserver op, en veranderd het verkeer zodat de client (In dit geval mijn tablet) gewoon netjes op http zonder versleuteling blijft. Zie hier, uw basis woman in the middle aanval. Nu is er opeens wel boeiende data te zien:



En nog één keer onder het rokje:



Nu is dit natuurlijk een beetje rommelige manier om het verkeer te bekijken, dus mocht je het willen, kan je er natuurlijk ook een intercepting proxy inzetten zoals Burp:



Het leuke is, dat je hiermee automatisch requests en responses van en naar de server kan aanpassen om allerlei leuke dingen te doen, maar dat laat ik aan jullie fantasie over.

..dat is alles?
Voor mobiele devices zo ongeveer wel ja. Maar gelukkig hebben laptops ook vaak WiFi. En als je daar het verhaal van hierboven mee combineert, kan je wat leuke bezigheden zelf wel verzinnen denk ik. Je hebt namelijk volledige controle over de internetverbinding. Ik noem:

• DNS responses faken om andere sites te tonen
• iframes injecteren in legitime responses om op de achtergrond exploit kits uit te voeren

Oftewel, toegang krijgen tot het besturingssysteem van de laptop zelf (Ja, ook Linux, ook Mac OS X). Kwestie van de fantastische browser autopwn van metasploit aanzetten, en er worden automagisch een bootlading zwarte pieten exploits afgevuurd op de systemen (Ook voor mobile devices, trouwens). Dat ziet er ongeveer zo uit:



Met een grand total van:



Daar moet wel iets tussen zitten toch? Even je target machine overhalen de link te bezoeken, en:



Blijkbaar is de standaard Windows 7 SP1 installatie kwetsbaar voor MS11_003 . En dat houdt in, een meterpreter shell op het systeem:



Nu ben je vrij om te doen wat je wil op het systeem. Wachtwoorden dumpen, backdoor installeren die terug connect als de laptop thuis of op het werk wordt aangesloten, etc.

Nou, mooi, dan knikker ik gewoon alle netwerken uit m'n lijst na gebruik
Ja, inderdaad, en dat zou je ook moeten doen. Behalve, als je zo'n mooi stukje hardware hebt met een appeltje en iOS erop. Daar kan je namelijk alleen netwerken verwijderen, als ze ook daadwerkelijk ontvangen kunnen worden door het apparaat. Dus niet vergeten het netwerk te verwijderen als je klaar bent met je big tasty met bacon!