Random IRC quote :      <pocoyo> piro a kemar churumbeles

Interneeeeeeeeeeeeeeeeeeeeeeeeeeeeeeet!!

Algunos de nosotros, por nuestro trabajo, hobbys o demás razones , debemos viajar a menudo y como miembros de esta sociedad de la información actual, o también porque seamos algo mas freaks que la mayoría de la gente, tenemos una necesidad que “enjuto mojamuto” definió muy bien.. “Inteeeerrrrneeeeeeeeet!!”

El caso es que la mayoría de hoteles, cafeterías, aeropuertos y estaciones de tren nos ofrecen la posibilidad de conectarnos a Internet a través de sus redes “públicas”, pero con un coste muy elevado por lo que, si no puedes pagarte una tarifa plana de 3G ni pagar 25 por día de conexión en una red pública, vamos a explicar como conseguirla, “de gratis” en nuestra nueva sección de Tecnología for dummies.

Nuestro ejemplo aleatorio, va a ser la T4, desde donde estoy escribiendo estas líneas, aunque tambien se incluyen referencias a otros entornos. Nada más encender mi portátil observo múltiples puntos de acceso abiertos a las que me puedo conectar. El funcionamiento es el siguiente, una vez conectado a dicha red, el servidor DHCP remoto me asigna una dirección IP. Hasta aquí todo bien.

DHCP Wireless

El problema está en que mi equipo portátil se encuentra en un segmento “aislado”, es decir, el servidor dns redirige cualquier petición que yo realice contra un “portal cautivo”, es decir, un frontal Web que requiere autenticación.

La idea es que, cuando nos autentiquemos, automáticamente se generará una nueva regla en el firewall que permita tráfico saliente desde mi equipo hacia Internet, mientras tanto, el tráfico estará bloqueado y solo podremos tener acceso por HTTP o HTTPS a las páginas Web definidas por el proveedor de acceso, habitualmente un portal de compra online para pagar con tarjeta y la Web de la compañía.

Llegados a este punto tenemos varias posibilidades:

1) Tunelizar el tráfico: Montar un tunel DNS que nos permita enrutar tráfico a través del protocolo DNS. Para ello necesitamos un sistema externo conectado a internet y un dominio del que seamos propietarios. Esto es habitualmente muy lento y no todo el mundo dispone de la infraestructura necesaria. http://dnstunnel.de/

2) Hack Sk1llz: Atacar el portal Web del proveedor de acceso o alguna de las páginas accesibles desde el portal captivo, encontrando alguna vulnerabilidad, por ejemplo un php include path, que nos permita acceder a páginas externas o alguna vulnerabilidad de inyección sql que nos permita volcar usuarios y contraseñas de la base de datos. Siendo realistas, esto no lo vamos a encontrar nunca :-).

hacking wireless provider

3) Atacar algún sistema de la red o alguna estación de trabajo: conectada a la red, que tenga la pasta suficiente como para pagar y que pueda estar autenticado. Podemos para ello usar alguna herramienta «for dummies» estilo metasploit, e instalar un proxy http en su maquina. El problema es que no sabemos cuanto tiempo estará conectado dicho cliente.

atacando clientes

4) Cambio de direccionamiento: Una opción que funciona muy bien en algunos entornos, es simplemente realizar un cambio de IP. Si el servidor nos asigna una 10.x.x.x/24 vamos a probar a meternos a mano una dirección ip 192.168.x.x/16 con gw por defecto 192.168.0.1 a ver que vemos. No sería la primera vez que nos encontremos de este modo salida directa a Internet y acceso a la red de servidores de la empresa que ofrece la conectividad.

5) Suplantación de identidad: Si todo consiste en tener una dirección MAC valida para poder tener salida a Internet… vamos a intentar localizar una válida. Para ello solo es necesario lo siguiente:
– Ordenador portátil con tarjeta Wireless
– Librerías Winpcap: Disponibles en winpcap.org
– Tu sniffer favorito: Por ejemplo Wireshark
– Herramienta para cambiar la MAC. Por ejemplo etherchange

Lo primero que debemos hacer es ejecutar el sniffer y realizar una captura de por ejemplo 1 minuto. Paramos la captura con el sniffer, y hacemos un pequeño filtro del tráfico, en el wireshark establecemos “TCP” para buscar solo conexiones establecidas, y le damos a ordenar por dirección de origen.

Dentro de las conexiones establecidas nos vamos a encontrar dos cosas:

a) conexiones http y https contra el portal cautivo (las dos direcciones ip de origen y destino serán de la red en la que estamos conectados)
b) conexiones establecidas a través de cualquier protocolo con direcciones IP de Internet o de redes externas

sniffing

Seleccionamos una de las conexiones establecidas hacia el exterior y apuntamos la dirección MAC. una vez apuntada, haremos uso de la herramienta etherchange.

etherchange

Trás realizar el cambio, debemos ir ala sección «conexiones de red», deshabilitar la tarjeta y volver a habilitarla. En ese momento el interfaz de red se refrescará con la dirección MAC que hayamos establecido.

desactivar interfaz de red

En este momento, nos podemos conectar nuevamente a la red inalámbrica. La diferencia será que el servidor DHCP nos asignará la dirección IP del otro cliente, que está asociada con dicha dirección MAC.

mac spoofing IP

En este punto, ya tenemos conectividad y una dirección IP nueva que nos permita navegar por Internet.

Interneeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeet 🙂

15 Comentarios para “Interneeeeeeeeeeeeeeeeeeeeeeeeeeeeeeet!!”

  1. Comment por Seifreed | 11/26/08 at 10:19 am

    Dios que buen artículo es fácil de entender..tendré que probarlo

  2. Comment por Gadix | 11/26/08 at 11:22 am

    No se yo si a cierta persona que asistió a la Lacon le hará mucha gracia el artículo xD

    Saludos

  3. Comment por Juanjo | 11/26/08 at 11:35 am

    Muy bueno. Lo que voy a preguntar no tiene relación pero no sé por qué me ha venido ahora a la mente leyendo esto XD ¿Y cómo se configuraba el DNS para crear tus propios vhosts esos molones con los que la peña entraba al irc? Ya, ya sé que a qué cojones viene esto XD a saber en fin ahí lo dejo XD Saludos

  4. Comment por Tora | 11/26/08 at 11:35 am

    Si es que no hay nada más productivo que el aburrimiento en un aeropuerto… ¿Dije yo eso?

  5. Comment por Andrés Tarascó | 11/26/08 at 12:42 pm

    La verdad es que cada día es más común encontrarte gente con MACs del estilo «10:BE:B0:00:CA:FE», «CA:CA:CA:CA:CA:CA» o «FA:BA:DA:FA:BA:DA» enviando alegremente shellcodes a través de estas redes inalambricas.

    Si vais a viajar y enchufar vuestro portátil en sitios compartidos, como hoteles o aeropuertos, usad condón. Digo.. firewall xD

  6. Comment por Lechón | 11/26/08 at 3:02 pm

    Si señor!! 48bits nos lo trae guapamente, nianoniano….

  7. Comment por infi | 11/27/08 at 6:29 am

    Interesante post 🙂
    Esto me recuerda a cuando en la pelicula «Hackers» los personajes «Filo y Navaja» enseñan a no pagar en los telefonos publicos, como dicen ellos: «Remember, hacking is more than just a crime. It’s a survival trait.»

  8. Comment por wzzx | 11/27/08 at 9:27 am

    cito a Gadix XD

  9. Comment por Ruben | 11/27/08 at 10:41 am

    A Ramoncín que vais

  10. Comment por Francisco Castro | 11/27/08 at 11:03 am

    ¿Qué sentido tiene crear un túnel por DNS cuando casi siempre está abierto el 443? Levantar un túnel por ssh u openvpn es una pavada de esta forma.

  11. Comment por Tarasco | 11/27/08 at 11:41 am

    Francisco, la razón es que al ser un usuario no autenticado, todo el tráfico TCP, esto incluye HTTP y HTTPS esta restringido contra el portal cautivo, y la única forma que existe para obtener información del exterior (internet) es a través de consultas DNS, puesto que el servidor DNS de la red consulta esa información al exterior.

    a través del envío de consultas dns y la recepción de dichos paquetes, es posible crear un túnel virtual que nos permita realizar tareas como conectar remotamente a una shell via SSH, o incluso navegar (con paciencia y en modo texto, porque la conexión es lenta).

  12. Comment por Cebolleta | 12/01/08 at 4:30 am

    Igual soy muy lerdo por preguntar esto pero…
    ¿Si 2 máquinas están navengado contra un mismo punto de acceso con igual MAC e IP y ambas esperan respuesta de un servidor de internet, que impide que la respuesta enviada a una de ellas no sea recogida y presentada por la otra?, dicho de otra manera ¿no existe la posibilidad de que se entrecrucen los dialogos en la dirección servidores-clientes?.

    P.D. Gran Blog elementos 😉

  13. Comment por Dade | 12/01/08 at 8:35 am

    Juraría que el kubiwireless es el que me encontre tambien en el Aeropuerto del Prat inspeccionando un poco la zona xD

    Aparte me hizo gracia que había un wifi con SSID de Aena cuya MAC iba aumentando en 1 cada poco tiempo.

    Muy interesante el articulo! 😉

    Un saludo.

  14. Comment por 48bits | 12/02/08 at 4:07 pm

    be wireless my friend

  15. Comment por Micerinos | 02/05/09 at 4:18 am

    La suplantación de identidad tiene un pequeño fallo y es que tu adaptador wifi se estará desconectando y conectando una y otra vez. El resto de las opciones son bastante validas siempre y cuando el portal cautivo nos permite salir por un puerto en concreto o con una dir. ip en concreto, en fin trabajo de investigación.
    Muy bien explicados los conceptos,»… el concepto es el concepto …»

Se han cerrado los comentarios