sábado, 7 de mayo de 2011

Phishing con WiFi Pineapple

Saludos Mundo libre.

Esta guía se basa en la carga automática Rickroll para la Piña WiFi. A raíz de esta guía será capaz de crear un equipo autónomo de WiFi piña o OpenWRT similares basados ​​punto de acceso inalámbrico que sirve a sitios web falsos para capturar las credenciales de inicio de sesión. El propósito de este artículo es señalar la sencillez de un ataque de phishing utilizando la técnica de dnsmasq de la carga automática Rickroll, y cómo puede protegerse de ataques similares. Vea la sección de mitigación en la parte inferior de este artículo para el consejo de defensa.

Antes de empezar por favor, siga las instrucciones que se indican en el artículo de Auto-Rickrolling WiFi y Piña. Una vez finalizado haremos lo siguiente:

1. Instalar PHP y dependencias
2. Configurar PHP y HTTPD
3. Prueba de la instalación de PHP
4. Escribir secuencias de comandos de redirección y captura
5. Modificar un sitio web para capturar las credenciales

Instalar PHP y dependencias

La instalación de PHP en OpenWRT es bastante simple. Teniendo en cuenta las limitaciones de tamaño y la potencia de su dispositivo inmersas como la piña WiFi y lo que estamos tratando de lograr que han optado por el 4x de PHP, en lugar de la 5x más reciente. Siéntase libre para desviarse si sus necesidades requieren las nuevas características de 5.

Comience por descargar e instalar los siguientes paquetes de downloads.openwrt.org: libopenssl_0.9.8i-3.2_mips.ipk, php4_4.4.7-1_mips.ipk, php4-cgi_4.4.7 1_mips.ipk y zlib_1.2.3 5_mips.ipk-



Por otra parte, todo lo necesario para este truco se puede descargar en este archivo.

Copiar los archivos del paquete (*. IPK) a la piña WiFi en / root / con el comando scp de Linux o una utilidad de CPS en Windows como WinSCP o Plink.

Abrir un shell en la piña WiFi utilizando el cliente de ssh de elección (en Windows recomiendo PuTTY) y acceder como root. Usted ya debe estar localizado en / root / después de la tala pulg Emita el "pwd" comando para estar seguros, o de cambio de directorio en / root / con "cd / root / ". Compruebe que los paquetes han sido copiados mediante la emisión de la "ls" para listar el contenido del directorio. Usted debe ver el paquete de cuatro archivos en la lista. Para instalar todas tema "instalar opkg *. ipk"

Después de unos momentos de cada paquete debe ser instalado. Ahora es el momento de configurar el PHP y el servidor HTTP.
Configurar PHP y HTTPD

Dos cambios deben hacerse para que el servidor HTTP de reconocer. archivos PHP y procesarlos correctamente.

En primer lugar tendremos que añadir una línea en el archivo httpd.conf en / etc / así que o abrirlo con el editor de texto favorito (vi ya está instalado) o simplemente ejecutar el comando "echo" *. php: / usr / bin / php ">> / etc / httpd.conf". Verifique que la línea se ha añadido con "cat / etc / httpd.conf"


A continuación tendremos que añadir una línea en el archivo php.ini en / etc /. Una vez abierto el archivo en un editor o agregue la línea con "echo" cgi.force_redirect 0 ">> / etc / php.ini" y verifique con "grep cgi.force_redirect / etc / php.ini"


Ahora reinicie el servidor web, ya sea mediante la emisión de "/ etc / init.d / httpd restart" o simpy reiniciar la piña WiFi con el "reinicio" de comandos. También es seguro desconectar simplemente el poder y vuelva a conectarlo

Una vez que el HTTPD y archivos de configuración de PHP se han modificado y el servidor se haya reiniciado podemos pasar a probar la instalación de PHP.
Prueba de la instalación de PHP

PHP tiene una función muy útil para comprobar el poco su instalación. Si reinicia su WiFi Piña tendrá que volver a iniciar sesión en un shell como root. Una vez situados, cambie al directorio / www / con el "cd / www /" comando. Ahora tendremos que crear un archivo test.php por lo que "test.php toque" asunto. Próximo número "" test.php> ". Compruebe que la cadena ha escrito en el archivo con el "test.php gato" de comandos.


Con el archivo por escrito que puede probar la instalación de PHP navegando a test.php en el servidor web. Recuerde que, siguiendo las instrucciones del artículo de Auto-Rickrolling WiFi Piña somos capaces de llegar al servidor web desde cualquier dirección URL solicitada. Sobre la base de la dnsmasq.conf, no hay diferencia entre example.com y google.com. Señalando su navegador para, por ejemplo, http://example.com/test.php deben producir los siguientes resultados:


Escribir secuencias de comandos de redirección y captura

Dado que el archivo dnsmasq.conf enviará ninguna dirección URL solicitada a la raíz del servidor web, tendremos que escribir un pequeño script PHP para identificar la dirección URL solicitada y presentar al usuario con la página correspondiente. Una vez que el usuario se registra en la página falsa vamos a utilizar una secuencia de comandos error.php para capturar las credenciales y registro en un archivo.

Desafortunadamente en el momento de la escritura me ha sido imposible convencer a los servidores Web pequeña para procesar archivos PHP como índices. La solución barata por ahora es escribir una meta simple redirección archivo index.html que apunta a nuestro script redirect.php para el procesamiento real. Esperemos que este paso se puede quitar en el futuro, pero por ahora tendrás que abrir el archivo index.html en / www su / usando el editor favorito y sustituir el contenido por el siguiente:



html head meta http-equiv="REFRESH" content="0;url=redirect.php"


Ya por la página de diversión. Crear un archivo redirect.php con el "toque redirect.php" comando y abrirlo con un editor de texto, por ejemplo "vi redirect.php".

Nota: Si eres nuevo aquí vi una introducción desnudo mínimos: Hay dos modos de vi, el modo comando y el modo de inserción. Por defecto estará en modo de comando. Pulse el botón "i" para entrar en modo de inserción que le permite escribir en el archivo. Presione ESC para volver al modo comando. El comando ": x" guarda y se cierra. Obtenga más información sobre el uso de vi.

Aquí hay un script redirect.php ejemplo. Modificar como se ve necesario. Vamos a romper la línea por línea.


?php
$ref = $_SERVER['HTTP_REFERER'];

if (strpos($ref, "facebook")) { header('Location: facebook.html'); }

require('peets.html');

?


La primera línea le dice a PHP para comenzar a procesar las siguientes líneas de código.

La segunda establece el valor de la variable "ref"como el HTTP_REFERER. Esta variable se obtiene de "_SERVER" y básicamente nos dice que dirección URL que el cliente está viniendo. Desde dnsmasq.conf está configurado para enviar cualquier sitio web a la raíz de nuestro servidor web, esto podría ser cualquier cosa.

La tercera línea se utiliza la función srtpos para mirar dentro del "ref" variable que acabamos de configurar y ver si la palabra "facebook" está en algún lugar en el interior. Esto significa que tanto "http://facebook.com" y "http://www.facebook.com" volvería realidad. Nota: Lo mismo va para facebooksucks.com o cualquier variación que contiene la cadena "facebook".

Si la palabra "facebook" se encuentra en la variable "ref" el encabezado de la función será definir la ubicación del navegador para facebook.html - un archivo vamos a crear aquí en un minuto.

Para phishing varios dominios, se crearía adicional similar si las declaraciones a medida de las direcciones URL que desee.

La cuarta línea sólo se tramitará si las afirmaciones anteriores no se encuentran para ser verdad. En nuestro ejemplo estamos sólo en busca de facebook, pero la lista podría ser más amplia. Los requisitos función le dice a PHP para cargar el contenido del archivo-en nuestro caso peets.html. Esto podría ser cualquier cosa de términos de contrato de servicios, una página de Internet en vuelo de compra o el archivo de índice de edad de nuestro querido Auto-Rickroll.

La quinta línea se cierra el proceso PHP.

Con el fin de capturar los datos enviados desde nuestras páginas de imitación tendremos que diseñar un archivo error.php. Sin entrar en una línea por línea de explicación, básicamente, este archivo se ve a dos variables envió a él - el nombre y pasar - y los escribe en el archivo bitches.txt


Tendremos que crear el archivo bitches.txt en / www / y cambiar los permisos para emitir los "touch / www / bitches.txt" y "chmod 777 / www / bitches.txt"

He incluido unas pocas líneas para evitar la manipulación y agregar el registro. El final del archivo es HTML básico para mostrar un falso "503 Servicio no disponible " error. Una vez más, esto puede ser personalizado a su contenido corazones. Por ejemplo, volviendo a la página de inicio de sesión puede convencer a un usuario inconsciente de que su contraseña no fue aceptada y darles la oportunidad de probar "la contraseña de otro ".
Modificar un sitio web para capturar las credenciales

El último paso en este ataque de phishing es realmente copiar y modificar las páginas de nuestros sitios falsos. En nuestro ejemplo, hasta ahora hemos estado utilizando facebook.com como el objetivo, así que siga este ejemplo. El uso de un navegador web (o de lujo consiguiendo con curl o wget) guardar la página principal de su sitio de destino. En cromo, haga clic en la llave y elige "Guardar página como". Guardar el sitio como "página web completa". Esto le ahorrará no sólo el HTML, pero crear una carpeta incluyendo la imagen y de componentes adicionales Javascript.


Abra el archivo HTML en tu editor de texto favorito y buscar la siguiente cadena: ". Establezca la variable de acción para la igualdad", "método de formulario =" post "error.php".

facebook2


Ahora cheque por el "input type =" cadena de texto "" y encontrar el campo nombre de usuario. Cambiar el nombre de variable a la igualdad de "nombre" si no está ya.


Por último cheque por el "input type =" cadena de la contraseña "" y cambiar la variable de nombre a "pasar ".


Su página de entrada falsa ya está listo para ser subido a la piña WiFi. Con una herramienta como la copia de la carpeta WinSCP facebook facebook.html y de acompañamiento a / www / en el dispositivo.

Con estas tres modificaciones en la secuencia de comandos error.php será recogida el contenido del nombre y pasar a los campos de texto. Prueba de ello, la navegación a facebook.com mientras está conectado a tu red WiFi Piña. Usted debe ver a su página de inicio falsa. Introducción de las credenciales falsas que lo llevará a la error.php mostrar un falso error de 503, y la comprobación facebook.com / bitches.txt debe mostrar la información capturada.
¿Cómo no ser víctima de este ataque

Es evidente que las limitaciones de disco en la piña WiFi va a evitar que uno sirviendo versiones rostro de cada sitio en Internet - así que si estás conectado a uno de estos dispositivos tortuosos y no pueden acceder a una URL oscuro, algo está pasando. También te darás cuenta que la navegación a facebook.com en este ejemplo remite a facebook.com / facebook.html - que debería ser un signo seguro de problemas. La parte más evidente de este ataque es que cada dominio que podría ping va a informar una respuesta de 192.168.1.1 - la alerta roja enorme que no estamos en Kansas.


Por último, tenga en cuenta que tener contraseñas dos o tres no es suficiente. Cada sitio tiene su propia contraseña segura y única. Considere el uso de un gestor de contraseñas como LastPass, 1Password o KeePass.

Para leer más y asesoramiento en la identificación de sitios de phishing ver antiphishing.org.


Fuente:http://hak5.org/hack/pineapple-phishing Exelente WEB se las recomiendo ampliamente.

Traduccion: Dellcom1@

Video:http://www.youtube.com/watch?v=3uNdu9TM3HM&feature=player_embedded#at=456

Saludos Mundo Libre.

No hay comentarios:

Publicar un comentario