Fallo: 03Fallo: 03 ForoHack.COM Mensaje - iodine: tunel DNS para saltarnos un portal cautivo
ENTRAR EN EL FOROHACK ANTIGUO (Muchos temas viejos y de menor nivel)
19:28:46 22/11/2017
¿No estas registrado?
Login: Clave:
0 Usuarios en línea: 0 registrados, invitados.
Conéctate y verás los usuarios en línea
Tema: iodine: tunel DNS para saltarnos un portal cautivo 2 votos2 votos2 votos2 votos2 votos
    Responder
Todos Los Foros -> Noticias -> iodine: tunel DNS para saltarnos un portal cautivo
Autor Mensaje (Ver Versión para Imprimir)
roller0
Maestro Nivel 4
Arreglando las imágenes

Mensajes: 736
Registrad@:
29/06/2007
Estado: Desconectad@
Ver último Post
iodine: tunel DNS para saltarnos un portal cautivo

En ocasiones, y cada vez más, encontramos redes Wi-Fi públicas y abiertas (sin codificación de datos) que requieren autenticación. Cuando te conectas y accedes a cualquier dirección Web, salta un portal cautivo donde tienes que introducir un login, controlan el tráfico HTTP.

Algunas están restringidas a cierto público cerrado, como estudiantes de una universidad o empleados de una empresa. Y otras son de pago, del estilo: envía un SMS y te dejamos navegar durante 30 minutos. ¿Existe alguna manera de vulnerar dicha restricción? La respuesta es ¡si!, la gran mayoría de esas redes tienen un pequeño fallo de seguridad que seguidamente explicamos como explotar.


--------------------------------------------------------------------------------

La puerta trasea
El funcionamiento del portal cautivo, a grandes rasgos, es este:

1. El cliente asocia con el AP, y obtiene una configuración de red
2. El cliente hace una petición DNS, y le es resuelta (por ejemplo google.com)
3. Cuando el cliente intenta acceder a la IP de google.com, el AP (normalmente asociado a un servidor RADIUS), le deniega el acceso y lo redirecciona al portal cautivo, donde deberá introducir su login.
4. Si el login es correcto, el AP deja que navege libremente. Sino, a cada petición redireccionará al portal.

En esos 4 puntos, ya podemos ver donde está la puerta que nos permitirá gozar de una conexión libre: las peticiones DNS. Son el único protocolo que esos sistemas dejan utilizar sin estar autenticado. Ahora bien, ¿como lo explotamos?


--------------------------------------------------------------------------------

Explotación
Los paquetes DNS (que utilizan el protocolo UDP), disponen de un pequeño payload de datos, 512 Bytes donde va almacenada información. La gracia está en utilizarlo para comunicarte con un servidor exterior (previamente configurado ) que nos hará de router para comunicarnos con Internet. Dicho en otras palabras, un tunel DNS

IOdine
Iodine es un pequeño software para *nix y windows, compuesto por dos partes. El servidor escucha en el puerto UDP 53, a la espera de peticiones DNS. El cliente que se conecta a él, crea una interfaz de red virtual IPv4 asociada al servidor, mediante el tunel TUN/TAP, por donde enviará las peticiones para que las enrute. Realmente bello!!

Web de iodine: http://code.kryo.se/iodine


--------------------------------------------------------------------------------

El servidor
¡Cuidado! Necesitamos un server conectado a internet, y un dominio que podamos gestionar. Como ejemplo utilizaremos: foo.com, y supondremos que hace referencia a la ip de nuestro server.

Código:

foo.com -> 77.44.33.22

En la gestión del dominio, tenemos que introducir una entrada del tipo NS:

Código:

tunel.foo.com NS foo.com

[En lugar de foo.com podría ser también la dirección IP del servidor>

Con la que indicamos que las peticiones a tunel.foo.com las resuelve el servidor de nombres instalado en foo.com.

Hay que tener en cuenta que el servidor no debería ser quien resuelva la DNS foo.com, ya que no podriamos tener iodine escuchando en el puerto UDP 53. O si no nos importa que la resolución de nuestro dominio foo.com quede "inaccesible", podemos utilizar el mismo dominio.


Lógicamente necesitamos tener instalado iodine en nuestro sistema, para ello podemos utilizar nuestro gestor de paquetes. En caso de debian/ubuntu:

Código:

aptitude install iodine

o descargarlo de la web.

Procedimiento
Iniciamos iodine y activamos forwarding para enrutar las peticiones.

Código:

iodined -f 10.0.0.1 tunel.foo.com
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUGING -t nat -s 10.0.0.0/255 -o eth0 -j MASQUERADE

[Suponiendo que eth0 es nuestra interfaz de salida a internet>

Nos pedirá un password, nos lo inventamos y lo conservamos en mente (luego será necesario). Ahora iodine se quedará escuchando en el puerto 53 UDP, lo podemos verificar con:

netstat -anup
--------------------------------------------------------------------------------

El cliente
Bien, ahora hemos salido a la calle, y estamos conectados a una red Wi-Fi con portal cautivo que requiere autenticación. Ya hemos asociado y obtenido la configuración de red mediante dhcp.

La tabla de rutas, quedaría algo así:

Código:

Destino             Pasarela            Genmask             Indic Métric Ref      Uso Int
10.182.0.0         0.0.0.0             255.254.0.0       U       0         0            0 ath0
0.0.0.0             10.182.1.1         0.0.0.0             UG      0         0            0 ath0

Suponemos la ip del AP es 10.182.1.1

Procedimiento
Eliminamos el default gateway que nos ha asignado, y añadimos entradas manuales para poder acceder a nuestro servidor y a los servidores DNS que nos ha asignado el AP:

Código:

route add -host 77.44.33.22 gw 10.182.1.1
route add -host DNS1 gw 10.182.1.1
route add -host DNS2 gw 10.182.1.1
route del default gw 10.182.1.1

Donde 77.44.33.22 es la IP de foo.comm, y DNS1/2 son los dos servidores de nombres que nos han asignado por dhcp (cat /etc/resolv.conf).

Ahora mismo, mediante el AP sólo podemos comunicarnos con los 2 servidores DNS, y nuestro server.


Nos quedará una tabla similar a esta:

Código:

Destino             Pasarela            Genmask             Indic Métric Ref      Uso Int
DNS1                  10.182.1.1         255.255.255.255 UGH    0         0            0 ath0
77.44.33.22       10.182.1.1         255.255.255.255 UGH    0         0            0 ath0
DNS2                  10.182.1.1         255.255.255.255 UGH    0         0            0 ath0
10.182.0.0         0.0.0.0             255.254.0.0       U       0         0            0 ath0

Ahora iniciamos el cliente de iodine, que se conectará mediante peticiones DNS a nuestro servidor y creará una interfaz virtual dns0.

Código:

iodine -f 94.23.44.214 tunel.foo.com

Como podemos ver automaticamente el servidor iodine nos ha asignado una dirección ip

Código:

ifconfig dns0
...
Direc. inet:10.0.0.3   P-t-P:10.0.0.3   Másc:255.255.255.0
...

Ya tenemos el tunel creado! Podemos utilizar dns0 para comunicarnos con el exterior. Sólo nos falta añadir como ruta por defecto la IP del servidor.

Código:

route add default gw 10.0.0.1

Y nos quedará la tabla así:

Código:

DNS1                  10.182.1.1         255.255.255.255 UGH    0         0            0 ath0
77.44.33.22       10.182.1.1         255.255.255.255 UGH    0         0            0 ath0
DNS2                  10.182.1.1         255.255.255.255 UGH    0         0            0 ath0
10.182.0.0         0.0.0.0             255.254.0.0       U       0         0            0 ath0
10.0.0.0            0.0.0.0             255.255.255.0    U       0         0            0 dns0
0.0.0.0             10.0.0.1            0.0.0.0             UG      0         0            0 dns0

Como resumen, podemos ver que por la interfaz ath0 utilizamos el AP para comunicarnos únicamente con los servidores DNS (las puertas que usamos para llegar hasta iodine), y nuestro server foo.com.

La interfaz dns0 para el resto de peticionies, incluidas las de internet.


Veamos el resultado de un ping

Código:

root@tr4v313r:~# ping google.com
PING google.com (209.85.227.147) 56(84) bytes of data.
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=1 ttl=56
time=865 ms
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=2 ttl=56
time=250 ms
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=3 ttl=56
time=1047 ms
64 bytes from wy-in-f147.1e100.net (209.85.227.147): icmp_seq=4 ttl=56
time=262 ms

Funciona!!

Código:

405 Kbit/s bajada
41 Kbit/s subida

No está nada mal!

Iodine nos permite jugar con el tamaño del MTU, podemos hacer varias pruebas para ver cual nos da mejores resultados.




23/03/2010 12:03:07 
skyisthelimit
Aprendiz nivel 1
Arreglando las imágenes

Mensajes: 29
Registrad@:
22/07/2009
Estado: Desconectad@
Ir Arriba
RE: iodine: tunel DNS para saltarnos un portal cautivo

muy tecnico...pero bueno de cojones. mi enhorabuena y felicitaciones! saludos!
27/03/2010 12:05:23 
NT38K
Casi Maestro Nivel 3

Mensajes: 229
Registrad@:
17/01/2010
Estado: Desconectad@
Ir Arriba
RE: iodine: tunel DNS para saltarnos un portal cautivo

Excelente material...Buen aporte rollerO   (Y)
27/03/2010 21:01:08 


REGÍSTRATE PARA PODER ENVIAR UN MENSAJE (tardas 20 segundos)

Copyright ForoHack.com