Ando aburrido con ganas de volver a postear, pero este hosting gratuito me aburrio tambien.

Me voy para blogspot.

 

http://insecuritynotes.blogspot.com

http://insecuritynotes.blogspot.com

http://insecuritynotes.blogspot.com

http://insecuritynotes.blogspot.com

Para aquellos que al momento de -jugar- con el wireless del vecino y estan a punto de inyectar, pero tienen problemas cuando corren el aireplay-ng ya que les arroja que el canal del Access Point corre en el 9 por ejemplo (puede ser otro) y su interface esta en la (-1) pueden solucionarlo. Aclaracion corri el script en Debian/Ubuntu 11.04

A pesar de inicializar de esta manera:

 # airmon-ng start wlan0 9 // el 9 es el canal

No funciona correctamente y como dije anteriormente al inyectar no vamos a poder porque dice que el AP corre en otro canal. Dependiendo el Kernel que tengan (uname -r) en este caso es para la 2.6.38 (*chequear links al pie del post), hay unos patches para este problema. A continuacion adjunto el script que deben correr como roots para poder solucionar esto.

Primero instala los headers correspondiente para su kernel que posean, luego va a bajar el compat-wireless-2.6.38.2, descomprime y aplica el parche. Posteriormente lo instala. Y debemos reiniciar.. recuerden correr el script como #ROOT!

#!/bin/bash
apt-get install linux-headers-$(uname -r)
wget http://www.orbit-lab.org/kernel/compat-wireless-2.6-stable/v2.6.38/compat-wireless-2.6.38.2-2.tar.bz2
tar -jxf compat-wireless-2.6.38.2-2.tar.bz2
cd compat-wireless-2.6.38.2-2
wget http://patches.aircrack-ng.org/channel-negative-one-maxim.patch
apt-get install patch
patch ./net/wireless/chan.c channel-negative-one-maxim.patch
make
make install
make unload
echo "Finished.. please reboot"

 

Link => http://www.orbit-lab.org/kernel/compat-wireless-2.6-stable/

Dependiendo el kernel que tengan, bajen las versiones respectivas. Esto puede demorar algunos minutos, reinician y listo, deberia funcionar.

 

.c0nfus3d

 

 

Bueno visto y considerando que ya estamos en el deadline voy a ir posteando lo que fue para mi la solucion de este Puzzle, si bien no esta confirmada y puede que este equivocado, alla vamos. Aun no fue resuelto o posteado por parte de SANS o algun winner, pero calculo que pronto lo estará.. Si tienen sugerencias me las dicen asi puedo entender en que me equivoque.

Para saber mas sobre el puzzle, historia, etc etc.. >> http://forensicscontest.com/2011/04/27/puzzle-8.

La primer pregunta es:

1) Joe’s WAP is beaconing. Based on the contents of the packet capture,
what are:
a. The SSID of his access point?
b. The BSSID of his access point?

Con la siguiente captura de pantalla resolvemos la primer pregunta.

  • 1a) SSID “Ment0rNet”
  • 1b) BSSID “00:23:69:61:00:d0″

2) How long is the packet capture, from beginning to end (in SECONDS -
please round to the nearest full second)?

La segunda pregunta la respondemos fácilmente en el Wireshark, solapa VIEW > TIME DISPLAY FORMAT > SECONDS SINCE BEGINNING OF CAPTURE. Y nos fijamos de que este en “Automatic: (File Format Precision)”.

Luego vamos al ultimo paquete de la captura y verificamos que el tiempo es de: 413,57. Y como nos dicen que tenemos que rodondear lo deje como respuesta en “414 seconds”

3) How many WEP-encrypted data frames are there total in the packet capture?

La tercer pregunta la resolvi aplicando el siguiente filtro > wlan.fc.protected eq 1 <, el cual me da como resultado un filtro de los paquetes, donde el flag protegido esta seteado a 1. La respuesta es de: 59,274

4) How many *unique* WEP initialization vectors (IVs) are there TOTAL in

the packet capture relating to Joe’s access point?

En la cuarta pregunta, hice un sencillo script en python, el cual importo la ayuda de Scapy, una poderosa herramienta para creacion y manipulacion de paquetes..previo a esto extraje del .pcap solo los paquetes que contengan iv con wireshark.

#!/usr/bin/env python
#http://c0nfused.com.ar
from scapy.all import *

print "\n#http://c0nfused.com.ar"
print "Contando IVs.."
matrizIVS=[]
pcap=rdpcap("evidence08-filtrado.pcap") # filtered @ wireshark.
for search in pcap:
if (search.iv not in matrizIVS) and search.addr2 == '00:23:69:61:00:d0':
matrizIVS.append(search.iv)
print "Ivs unicos totales &gt;&gt; ",len(matrizIVS)

Total:  29,719

5) What was the MAC address of the station executing the Layer 2 attacks?

The Mac Address: 1c:4b:d6:69:cd:07

6) How many *unique* IVs were generated (relating to Joe’s access point):
a. By the attacker station?
b. By all *other* stations combined?

Lo resolvi con el siguiente script, de antes pero modificado un poco:

#!/usr/bin/env python
#http://c0nfused.com.ar
from scapy.all import * #Import scapy!

print "\n http://c0nfused.com.ar "
print "Searching IVs..\n"

matrizIVS=[]
pcap=rdpcap("evidence08-filtrado.pcap") #open .pcap filtered by wireshark.
for search in pcap: #looking for ivs
if (search.iv not in matrizIVS) and search.addr2 == '00:23:69:61:00:d0' and search.addr3 == 'de:ad:be:ef:13:37' : #equal to de:ad:be:..
matrizIVS.append(search.iv)
print "Answer 6.a) Ivs uniques: ",len(matrizIVS)

matrizIvs2={} #int
pcap2=rdpcap("evidence08-filtrado.pcap") #open .pcap filtered by wireshark
for search2 in pcap2: #looking for ivs
if (search2.iv not in matrizIvs2) and search2.addr2 == '00:23:69:61:00:d0' and search2.addr3 != 'de:ad:be:ef:13:37' : #different to de:ad..
matrizIvs2[search2.iv] = search2.addr3
print "Answer 6.b) Other Stations Combined: ", len(matrizIvs2)

 

7) What was the WEP key of Joe’s WAP?

The WEP key is: [ D0:E5:9E:B9:04 ]

Simplemente >> aircrack-ng evidence08.pcap

 

8) What were the administrative username and password of the targeted
wireless access point?

Luego que sacamos el WEP Key, decodificamos con wireshark el trafico capturado, y nos damos cuenta que el router acepta autenticacion basica, por lo tanto aplicamos un filtro en el wireshark: “http.authbasic”. Y logramos ver el siguiente paquete, que a si mismo ya es decodificado y vemos que el user y pass: admin

9) What was the WAP administrative passphrase changed to?

La ultima pregunta fue respondida, mediante el unico paquete que contenia el metodo POST, para esto aplique un filtro en wireshark “http.request.method eq POST” lo cual me arrojo el siguiente resultado al hacer un follow stream:

El passphrase seteado por el atacante es: <hahp0wnedJ00>

 

Resurgiendo como el fenix, el ex blog (“http://www.google.com.ar/#sclient=psy&hl=es&source=hp&q=”confused.vndv.com”“) que por cierto ya no esta entre nosotros, pero pueden encontrar algunos papers mios por el mundo underground, llamado Internet.

De momento tan solo me quedare con este blog, y este hosting gratuito, para seguir escribiendo papers, del dia a dia.. de cada security researcher, y tratando de transmitir a todos aquellos novatos y jovenes newbies como lo soy yo, informacion o puntos de vista. <:)

Despues de unos buenos meses que me tome vacaciones, es hora de volver al futuro y empezar a escribir..

 

 

© 2011 c0nfused | Security Researcher. Silence is golden.. Suffusion theme by Sayontan Sinha