SFIDA rete wifi

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
S

shacker

Utente Silver
8 Aprile 2009
7
1
0
57
ciao a tutti,
premetto che no sono espertissimo...quindi perdonate eventuali banalità.
Ho fatto una scommessa con mio fratello: violare e utilizzare la connettività della rete wireless che ha configurato nel suo uffcio vicino casa (ovviamente non mi ha detto nulla!) senza possibilmente farmi rilevare.:asd:
La situazione, in sintesi:
ho craccato la chiave WEP (da WindowsXp, con Airodump-Aireplay-Aircrack in assenza di clients).
La rete è compost,questo lo so, da 2 postazioni e stampante, ma con server e proxy/firewall.
Mi autentico in rete, ma non riesco a navigare!

Dati conosciuti:
Ho analizzato la rete con Look@lan, mi rileva dati (ip, porte, servizi attivi) relativi a:
- AccessPoint (Procurve HP)
- Gateway (D-Link)
- Firewall (Sonicwall, credo sia un firewall/proxy...)
- Server (IBM os/400)
- clients loggati (ip, MAC, Hostname, NetBIOS-name, NetBIOS-user)

Conosco la classe degli IP dei cliets, DHCP attivo ["arp -a" mi dice "dynamic"].
Esso tuttavia mi assegna parametri DNS che corrispondono all'indirizzo del Gateway (mentre, da frames sniffati con Wireshark, mi risultano altri indirizzi, uno di Tin un'altro di Interbusiness...che però non mi danno connettività ugualmente, né con browser né con altre applicazioni).
Escluderei "MAC filtering", anche perché mi sono assegnato il MAC spoofato di un client offline...

Ho poi sniffato con Wireshark un'intera giornata (2 clients attivi) e ho decrittato il file.cap con Airedecap.
Dalla marea di dati, e molti protocolli disponibili, ho cercato di fare alcune analisi...
Cmq ho notato, tra le varie cose:
molti frames su protocollo NBNS (autenticazione?) e poi frames MDNS (relativi a richieste di un ip clients di servizi locali, quasi sempre stampante di rete), ma poi frames DNS (per richieste HTTP da ip locale a ip sito web)...


Problema:
La mia domanda è se la mancata navigazione sia un semplice problema di configurazione (della mia scheda, della connessione, del browser...) oppure il problema dipende dalla strutturazione della rete wifi (autenticazione a dominio? mappatura dei clients per poter uscire dal router tramite proxy/firewall ?)
Come fare x capirlo e per risolverlo?
Se servissero ulteriori dati/verifiche, fatemi sapere...
GRAZIE INFINITE a chiunque mi voglia aiutare (utilizzo, purtroppo, Windows ma se necessario cerco di procurarmi una distro Linux-live).
 
Può essere che il firewall blocchi la porta 80, in questo caso proverei col tunneling per vedere se appoggiandoti ad un secondo server riesci a navigare
 
A occhio può anche essere per via del MAC spoofato... so che può capitare che spoofando il mac non vengano poi risolte correttamente le richieste ARP e quindi venga bloccato il traffico in uscita sul remoto.
 
RE:

anzitutto grazie x i contributi:
rispondo e aggiorno la situazione...
- porte e servizi su Firewall, Server, Gateway riesco a vederle con Look@lan e confermo che la porta 80 è aperta (in ogni caso come dovrei fare x provare il tunnelling ?)
- ho provato anche con MAC random, senza successo


altri dettagli sul fronte ROUTER:
1) solitamente dal comanda "arp -a" mi esce il MAC relativo all'ip del Gateway (chimiamolo per riservatezza 192.168.150.AA)
ma mi è anche capitato che uscissero 2 voci (entrambe dymanic):
una appunto MAC del gateway 192.168.150.AA
ma sotto anche MAC del Sonicwall 192.168.150.BB
....è strano, ma devo segnalarlo (anche perché 192.168.150.BB risultava essere gateway qunado questa stessa rete wifi era "open", prima che venisse chiusa con WEP.

2) partendo dal MAC address del router, ho provato il login di default al pannello configurazione via browser (qui)
è un D-Link Di-524, ma funziona solo il login come USER (non come ADMIN)
per cui riesco a vedere le impostazioni ma non a cambiarle, come vorrei.
Mi sono guardato le impostazioni, ma ci sono alcune cose che non mi quadrano...
se serve, ho fatto scrrenshots sia di analisi Lokk@klan, sia di impostazioni Router (poi ho sniffato parecchai roba con Wireshark, in chiaro)

come ottenere la pwd di admin?
ho scaricato, da pannello configurazione, le impostazioni del router in un file config.bin ...contiene anche le pwd ?
si può provare a editarlo con un hex editor, o perdo solo tempo ?
 
Si, il file config dovrebbe avere anche la password, probabilmente hashata.

Ma verso l'esterno altri servizi funzionano? Oppure è tutto bloccato? Voglio dire, un ping www.google.it ti riesce?

Mi dispiace ma non sto avendo particolari illuminazioni :asd:

Intanto prova a postare la config del router.
 
Re

avevo già provato a pingare:
ping su "google.com" (risposta= "Ping could not find host google.com")
ping su ip diretto "209.85.171.100" (risposta= "Pinging ... Request timed out")

Ho provato ad aprire con Hex Workshop il file "config.bin" ma mi risulta una serie esadecimale di FF FF FF ...etc con pochi altri caratteri esadecimanli (la conversione Ascii o Unicode non dà grandi sorprese)
come fare a decrittare pwd hashata, vorrei impararlo!
o almeno a capire se nel config.bin la pwd ci sia ?
 
RE:

credevo tu avessi cose più divertenti da fare di notte ... :asd:
grazie x il tempo che dedichi alla mia causa

fammi sapere!
intanto ti auguro sinceramente un serena Pasqua!!! :)
 
Allora, prima di tutto chiedo scusa per il ritardo di risposta ma le vacanze di pasqua mi hanno impegnato parecchio :D

Cmq, ho guardato gli screen che mi hai mandato e, a occhio, direi che è tutto a posto.
Nel senso che le impostazioni del router sono corrette e ti consentono di passare tranquillamente verso internet.
Vedo che cmq il traffico arriva fino al gateway, quindi fin lì è ok. Il punto è che poi il gateway (o il firewall) ti blocca, probabilmente perchè non ti autentica come client autorizzato, oppure semplicemente scarta i pacchetti perchè li ritiene malformati.
Questo secondo me può essere dovuto solo a qualcosa che corrompe i pacchetti. Per esempio il MAC spoofato, anche se è strano perchè in teoria al gateway manco dovrebbe arrivare il MAC tuo...e così al firewall...

Prova a connetterti senza spoofare il mac, così vediamo se cambia qualcosa.
Se anche così non funziona...:confused: bisogna scervellarsi ancora!
 
purtroppo credo che il MAC non sia il problema...ho provato in tutte le salse (spoofato e non), ma nulla.

ci sono alcune cose nelle impostazioni del Router che non mi quadrano...

x estrarre la pwd dal "config.bin" (il file di backup delle impostazioni del router), come faccio?
ho provato ad aprirlo con un hex editor, ma senza grandi risultati...
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

D
Guida Router, modem, access point, switch cosa sono?
  • 1
  • 863
1
863
Manuali di Informatica e Reti
0xbro
T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
Top Bottom
Indietro