Archief
- De topics van lang geleden
Wifi + aireplay-ng
Hey
Sinds enkele maanden ben ik geïnteresseerd in beveiligings
aspect van wireless netwerken en onlangs ben ik aircrack-ng
aan het testen en heb iets heel vreemds gezien. Netwerk van
de buuren is beveiligd met 128 bit wep sleutel. Het ongewone
is dat ik een packetje heb gevonden die niet versleuteld
was. Het is een UPnP packetje met een HTTP header. Zo ziet
er packetje er uit:
Size: 381, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:12:BF:39:F6:31
Dest. MAC = 01:00:5E:7F:FF:FA
Source MAC = 00:12:BF:39:F6:2F
0x0000: 0842 0000 0100 5e7f fffa 0012 bf39 f631
.B....^.....9.1
0x0010: 0012 bf39 f62f 20fd df36 2e00 aaaa 0300
...9./ ..6......
0x0020: 0000 0800 4500 0155 4ffe 0000 0411 b3f6
....E..UO.......
0x0030: c0a8 0101 efff fffa 076c 076c 0141 7451
.........l.l.AtQ
0x0040: 4e4f 5449 4659 202a 2048 5454 502f 312e
NOTIFY * HTTP/1.
0x0050: 310d 0a48 6f73 743a 3233 392e 3235 352e
1..Host:239.255.
0x0060: 3235 352e 3235 303a 3139 3030 0d0a 4e54
255.250:1900..NT
0x0070: 3a75 726e 3a73 6368 656d 6173 2d75 706e
:urn:schemas-upn
0x0080: 702d 6f72 673a 7365 7276 6963 653a 5741
p-org:service:WA
0x0090: 4e49 5043 6f6e 6e65 6374 696f 6e3a 310d
NIPConnection:1.
0x00a0: 0a4e 5453 3a73 7364 703a 616c 6976 650d
.NTS:ssdp:alive.
0x00b0: 0a4c 6f63 6174 696f 6e3a 6874 7470 3a2f
.Location:http:/
0x00c0: 2f31 3932 2e31 3638 2e31 2e31 3a38 302f
/192.168.1.1:80/
0x00d0: 6967 642e 786d 6c0d 0a55 534e 3a75 7569
igd.xml..USN:uui
--- CUT ---
En nu nog screenshot:
http://img176.imageshack.us/img176/785/wtfjg1.png
Wat kan er oorzaak kunnen zijn van dit vreemd situatie?
MVG Mateusz
Sinds enkele maanden ben ik geïnteresseerd in beveiligings
aspect van wireless netwerken en onlangs ben ik aircrack-ng
aan het testen en heb iets heel vreemds gezien. Netwerk van
de buuren is beveiligd met 128 bit wep sleutel. Het ongewone
is dat ik een packetje heb gevonden die niet versleuteld
was. Het is een UPnP packetje met een HTTP header. Zo ziet
er packetje er uit:
Size: 381, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:12:BF:39:F6:31
Dest. MAC = 01:00:5E:7F:FF:FA
Source MAC = 00:12:BF:39:F6:2F
0x0000: 0842 0000 0100 5e7f fffa 0012 bf39 f631
.B....^.....9.1
0x0010: 0012 bf39 f62f 20fd df36 2e00 aaaa 0300
...9./ ..6......
0x0020: 0000 0800 4500 0155 4ffe 0000 0411 b3f6
....E..UO.......
0x0030: c0a8 0101 efff fffa 076c 076c 0141 7451
.........l.l.AtQ
0x0040: 4e4f 5449 4659 202a 2048 5454 502f 312e
NOTIFY * HTTP/1.
0x0050: 310d 0a48 6f73 743a 3233 392e 3235 352e
1..Host:239.255.
0x0060: 3235 352e 3235 303a 3139 3030 0d0a 4e54
255.250:1900..NT
0x0070: 3a75 726e 3a73 6368 656d 6173 2d75 706e
:urn:schemas-upn
0x0080: 702d 6f72 673a 7365 7276 6963 653a 5741
p-org:service:WA
0x0090: 4e49 5043 6f6e 6e65 6374 696f 6e3a 310d
NIPConnection:1.
0x00a0: 0a4e 5453 3a73 7364 703a 616c 6976 650d
.NTS:ssdp:alive.
0x00b0: 0a4c 6f63 6174 696f 6e3a 6874 7470 3a2f
.Location:http:/
0x00c0: 2f31 3932 2e31 3638 2e31 2e31 3a38 302f
/192.168.1.1:80/
0x00d0: 6967 642e 786d 6c0d 0a55 534e 3a75 7569
igd.xml..USN:uui
--- CUT ---
En nu nog screenshot:
http://img176.imageshack.us/img176/785/wtfjg1.png
Wat kan er oorzaak kunnen zijn van dit vreemd situatie?
MVG Mateusz
Reacties (6)
17-03-2008, 13:26 door
SirDice
Het UPnP pakketje komt van de router zelf (192.168.1.1; c0a8 0101) en wordt naar een multicast adres gestuurd (239.255.255.250; efff fffa). Maar waarom het niet encrypted is?!? Gare firmware? Of staat deze router wellicht ook niet encrypte verbindingen toe?
NB.. Leuk achtergrondje ;)
NB.. Leuk achtergrondje ;)
17-03-2008, 14:10 door
Mameomowskwooz
Door SirDice
Het UPnP pakketje komt van de router zelf (192.168.1.1; c0a8 0101) en wordt
naar een multicast adres gestuurd (239.255.255.250; efff fffa). Maar waarom
het niet encrypted is?!? Gare firmware? Of staat deze router wellicht ook niet
encrypte verbindingen toe?
NB.. Leuk achtergrondje ;)
Het UPnP pakketje komt van de router zelf (192.168.1.1; c0a8 0101) en wordt
naar een multicast adres gestuurd (239.255.255.250; efff fffa). Maar waarom
het niet encrypted is?!? Gare firmware? Of staat deze router wellicht ook niet
encrypte verbindingen toe?
NB.. Leuk achtergrondje ;)
Waarom is 192.168.1.1 perse de router zelf?
Anyway,
Er komen vaker kwetsbaarheden voor waarbij devices al 't netwerk bestoken
met paketten nog voordat de authenticatie is afgerond.
Als ik een gok zou moeten wagen;
Kennelijk een UPnP enabled device dat zich juist aanmeldt en nog even
tussendoor nog een UPnP multicast uitstuurt...
Maar ja,...als SirDice's aaname klopt dat 't van de router zelf komt?! Dan is 't
nog gekker. :-)
17-03-2008, 14:43 door
SirDice
Twee redenen waarom ik denk dat het de router zelf is..
1) het source IP adres, 192.168.1.1 is redelijk standaard als router adres.
2) Het betreft een UPnP WANIPConnection notify
http://en.wikipedia.org/wiki/Internet_Gateway_Device
1) het source IP adres, 192.168.1.1 is redelijk standaard als router adres.
2) Het betreft een UPnP WANIPConnection notify
http://en.wikipedia.org/wiki/Internet_Gateway_Device
Door SirDice
Twee redenen waarom ik denk dat het de router zelf is..
1) het source IP adres, 192.168.1.1 is redelijk standaard
als router adres.
2) Het betreft een UPnP WANIPConnection notify
http://en.wikipedia.org/wiki/Internet_Gateway_Device
Puntje 1 klopt als een bus. De meeste routers hebben defaultTwee redenen waarom ik denk dat het de router zelf is..
1) het source IP adres, 192.168.1.1 is redelijk standaard
als router adres.
2) Het betreft een UPnP WANIPConnection notify
http://en.wikipedia.org/wiki/Internet_Gateway_Device
192.168.0.1 of 192.168.1.1 ip adressen.
Hieruit kan je ook zien dat je buurman niet echt handig is
met dit soort dingen. 128bits wep encryptie ben je in een
minuutje of 2 gekraakt. Let wel even op dat dit illegaal is.
(valt onder computer vrede breuk).
Als een je goede buurjongen wil zijn moet je gwoon even
aankloppen. en het verhaal eens uitleggen. en advieseer hem
om wpa te gaan gebruiken. ip adres aan te passen. en de
firmware up te daten.
20-03-2008, 11:11 door
pikah
Waarom zou je dat IP gaan veranderen? Net of dat
beveiligingstechnisch iets opleverd....
Belangrijker is inderdaad de encryptie, upgrade van firmware zou inderdaad ook het een en ander kunnen fixen, en zorg ervoor dat er een sterk wachtwoord op staat.
Eventueel zou je management via WIFI uit kunnen zetten als dit mogelijk is op de router.
beveiligingstechnisch iets opleverd....
Belangrijker is inderdaad de encryptie, upgrade van firmware zou inderdaad ook het een en ander kunnen fixen, en zorg ervoor dat er een sterk wachtwoord op staat.
Eventueel zou je management via WIFI uit kunnen zetten als dit mogelijk is op de router.
20-03-2008, 14:26 door
Wuerfel
Door pikah
Waarom zou je dat IP gaan veranderen? Net of dat
beveiligingstechnisch iets opleverd....
Belangrijker is inderdaad de encryptie, upgrade van firmware zou inderdaad
ook het een en ander kunnen fixen, en zorg ervoor dat er een sterk wachtwoord
op staat.
Eventueel zou je management via WIFI uit kunnen zetten als dit mogelijk is op
de router.
Hmmmnee, het levert niet veel op ... anders dan dat een kwaadwillende Waarom zou je dat IP gaan veranderen? Net of dat
beveiligingstechnisch iets opleverd....
Belangrijker is inderdaad de encryptie, upgrade van firmware zou inderdaad
ook het een en ander kunnen fixen, en zorg ervoor dat er een sterk wachtwoord
op staat.
Eventueel zou je management via WIFI uit kunnen zetten als dit mogelijk is op
de router.
buurjongen de standaard adminpages probeert te openen op de geijkte
default IP-adressen met standaard wachtwoorden en zo.
Tegen de tijd dat ze op het nivo van packetsniffen zijn van de topic opener
hebben ze dat overigens al niet meer nodig en hebben ze het IP adres allang
achterhaald.
Voor de rest ben ik het volkomen met je eens
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
