Wifi + aireplay-ng
Sinds enkele maanden ben ik geïnteresseerd in beveiligings
aspect van wireless netwerken en onlangs ben ik aircrack-ng
aan het testen en heb iets heel vreemds gezien. Netwerk van
de buuren is beveiligd met 128 bit wep sleutel. Het ongewone
is dat ik een packetje heb gevonden die niet versleuteld
was. Het is een UPnP packetje met een HTTP header. Zo ziet
er packetje er uit:
Size: 381, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:12:BF:39:F6:31
Dest. MAC = 01:00:5E:7F:FF:FA
Source MAC = 00:12:BF:39:F6:2F
0x0000: 0842 0000 0100 5e7f fffa 0012 bf39 f631
.B....^.....9.1
0x0010: 0012 bf39 f62f 20fd df36 2e00 aaaa 0300
...9./ ..6......
0x0020: 0000 0800 4500 0155 4ffe 0000 0411 b3f6
....E..UO.......
0x0030: c0a8 0101 efff fffa 076c 076c 0141 7451
.........l.l.AtQ
0x0040: 4e4f 5449 4659 202a 2048 5454 502f 312e
NOTIFY * HTTP/1.
0x0050: 310d 0a48 6f73 743a 3233 392e 3235 352e
1..Host:239.255.
0x0060: 3235 352e 3235 303a 3139 3030 0d0a 4e54
255.250:1900..NT
0x0070: 3a75 726e 3a73 6368 656d 6173 2d75 706e
:urn:schemas-upn
0x0080: 702d 6f72 673a 7365 7276 6963 653a 5741
p-org:service:WA
0x0090: 4e49 5043 6f6e 6e65 6374 696f 6e3a 310d
NIPConnection:1.
0x00a0: 0a4e 5453 3a73 7364 703a 616c 6976 650d
.NTS:ssdp:alive.
0x00b0: 0a4c 6f63 6174 696f 6e3a 6874 7470 3a2f
.Location:http:/
0x00c0: 2f31 3932 2e31 3638 2e31 2e31 3a38 302f
/192.168.1.1:80/
0x00d0: 6967 642e 786d 6c0d 0a55 534e 3a75 7569
igd.xml..USN:uui
--- CUT ---
En nu nog screenshot:
http://img176.imageshack.us/img176/785/wtfjg1.png
Wat kan er oorzaak kunnen zijn van dit vreemd situatie?
MVG Mateusz
NB.. Leuk achtergrondje ;)
Het UPnP pakketje komt van de router zelf (192.168.1.1; c0a8 0101) en wordt
naar een multicast adres gestuurd (239.255.255.250; efff fffa). Maar waarom
het niet encrypted is?!? Gare firmware? Of staat deze router wellicht ook niet
encrypte verbindingen toe?
NB.. Leuk achtergrondje ;)
Waarom is 192.168.1.1 perse de router zelf?
Anyway,
Er komen vaker kwetsbaarheden voor waarbij devices al 't netwerk bestoken
met paketten nog voordat de authenticatie is afgerond.
Als ik een gok zou moeten wagen;
Kennelijk een UPnP enabled device dat zich juist aanmeldt en nog even
tussendoor nog een UPnP multicast uitstuurt...
Maar ja,...als SirDice's aaname klopt dat 't van de router zelf komt?! Dan is 't
nog gekker. :-)
1) het source IP adres, 192.168.1.1 is redelijk standaard als router adres.
2) Het betreft een UPnP WANIPConnection notify
http://en.wikipedia.org/wiki/Internet_Gateway_Device
Twee redenen waarom ik denk dat het de router zelf is..
1) het source IP adres, 192.168.1.1 is redelijk standaard
als router adres.
2) Het betreft een UPnP WANIPConnection notify
http://en.wikipedia.org/wiki/Internet_Gateway_Device
192.168.0.1 of 192.168.1.1 ip adressen.
Hieruit kan je ook zien dat je buurman niet echt handig is
met dit soort dingen. 128bits wep encryptie ben je in een
minuutje of 2 gekraakt. Let wel even op dat dit illegaal is.
(valt onder computer vrede breuk).
Als een je goede buurjongen wil zijn moet je gwoon even
aankloppen. en het verhaal eens uitleggen. en advieseer hem
om wpa te gaan gebruiken. ip adres aan te passen. en de
firmware up te daten.
beveiligingstechnisch iets opleverd....
Belangrijker is inderdaad de encryptie, upgrade van firmware zou inderdaad ook het een en ander kunnen fixen, en zorg ervoor dat er een sterk wachtwoord op staat.
Eventueel zou je management via WIFI uit kunnen zetten als dit mogelijk is op de router.
Waarom zou je dat IP gaan veranderen? Net of dat
beveiligingstechnisch iets opleverd....
Belangrijker is inderdaad de encryptie, upgrade van firmware zou inderdaad
ook het een en ander kunnen fixen, en zorg ervoor dat er een sterk wachtwoord
op staat.
Eventueel zou je management via WIFI uit kunnen zetten als dit mogelijk is op
de router.
buurjongen de standaard adminpages probeert te openen op de geijkte
default IP-adressen met standaard wachtwoorden en zo.
Tegen de tijd dat ze op het nivo van packetsniffen zijn van de topic opener
hebben ze dat overigens al niet meer nodig en hebben ze het IP adres allang
achterhaald.
Voor de rest ben ik het volkomen met je eens
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.