[Remote-Router]Fake DNS and Phishing/Exploiting attack

Posted on: 29 August 2010

In pochissimi, cambiano la password al router -.-’ per comodità si lascia quella di default, quella facile da ricordare o.O

User: admin
Password: admin

In questo modo, se il router è raggiungibile dall’esterno, oppure se un utente, riesce ad entrare nella nostra rete può sfruttando i dns effettuare attacchi mirati verso il vostro il pc :D
Gli attacchi vanno dal phishing:
Wiki:

In the field of computer security, phishing is the criminally fraudulent process of attempting to acquire sensitive information such as usernames, passwords and credit card details by masquerading as a trustworthy entity in an electronic communication. Communications purporting to be from popular social web sites, auction sites, online payment processors or IT administrators are commonly used to lure the unsuspecting public. Phishing is typically carried out by e-mail or instant messaging.

fino a per prendere il controllo remoto del pc vittima :D

Tutto questo sfruttando i dns.
Quando riusciamo ad entrare nei router, oltre a cambiare l’ssid del wifi in “Che stronzo che sie” / “Sei un merda” e stronzate varie possiamo cambiare i dns.
Ad esempio io ho quelli di google o.O

I server dns, volgarmente parlando, non fanno altro che restituire l’ip del sito internet a cui ci stiamo connettendo, ad esempio se digitiamo www.clshack.com:
; <<>> DiG 9.7.0-P1 <<>> www.clshack.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29740 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.clshack.com. IN A ;; ANSWER SECTION: www.clshack.com. 31 IN A 94.141.22.26 ;; Query time: 127 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Thu Aug 19 19:12:04 2010 ;; MSG SIZE rcvd: 48
Ci restituisce:
94.141.22.26

Prima che venga effettuata la query al dns server, linux passa dal file /etc/hosts mentre windows passa da:
# For Windows 9x and ME place this file at "C:\Windows\hosts" # For NT, Win2K and XP use "C:\windows\system32\drivers\etc\hosts" # or "C:\winnt\system32\drivers\etc\hosts" # For Windows 7 and Vista use "C:\window\system32\drivers\etc\" # or "%systemroot%\system32\drivers\etc\"
Se un malintenzionato/virus modifica i vostri file hosts in ad esempio:
127.0.0.1 www.google.com
Ogni volta che digitate google.com, verrete reindirizzati su 127.0.0.1 ma l'url non cambierebbe :D
Pensate a un virus/ malintenzionato che modifica questi file o.O

Beh comunque dicevamo, se il sito digitato non è presente nel nostro file host, e nemmeno nella nostra cache(esistono programmi che cachano sul nostro pc gli indirizzi ip appartenenti ai siti per velocizzare la navigazione... ) il pc chiede al server dns di dargli l'indirizzo ip del sito :D

Se abbiamo un nostro server dns o.O possiamo dirgli che google, corrisponda a facebook e così via :D
Immagine esempio :D => (potrei andare a fare il grafico pff )

E adesso passiamo alla pratica :D vediamo come attaccare milioni di router :D

Quasi tutti i router, hanno una autentificazione http basic quindi sfruttando il mio piccolo script, possiamo craccarli:
[PHP]BruteForce Http basic authentication
Una volta trovata la password del router, possiamo impostare il nostro server dns:
[PYTHON]Fake DNS Server

Ora possiamo sbizzarci con metasploit, oppure in modo più automatico, =>
[How To] Social Engineering Toolkit with Metasploit

Basta solo impostare la falsa risposta nel falso dns server, cosi il nostro amico viene reindirazzato dove vogliamo noi :D
Ad esempio su un server creato da metasploit che sfrutta una certa vulnerabilità ecc ecc, tutto questo è semplicissimo o.O
Ed è colpa di chi non cambia la password di default nei router...
In un ora, si riescono a trovare anche 50 password di router e vanno dall'admin:admin all'admin:1234

This entry was posted on Sunday, August 29th, 2010 at 9:31 am and is filed under GNU/Linux, Hacking, Programming, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Tagged with: attack • Hacking • phishing • remote • router • tool

http://www.ultimoprofetawebblog.wordpress.com ultimoprofeta

Molto spesso i router usano come password di default anche:

user: user
pass: user

ottimo articolo ;)
Pingback: Router – Il problema delle password di default « Ultimoprofeta Web Blog
Pingback: [Remote-Router]Fake DNS and Phishing/Exploiting attack
clshack

@ultimoprofeta:

Si infatti, basta crearsi un piccolissimo dizionario (3 username*50 password) => 150 combinazioni da provare e la passoword, viene trovata il 90 % delle volte ;)

E grazie per avermi citato :D
Pingback: news sul mondo della programmazione » [Remote-Router]Fake DNS and Phishing/Exploiting attack
Evil_Source

Dai un occhiata
http://www.phenoelit-us.org/dpl/dpl.html
ci sono milioni di router e non tutti hanno stessa pass stesso user
clshack

@Sorgente_Maligno:

Si purtroppo però, un router, quando la password è errata, ritorna sempre qualche informazione di troppo e da li si può capire di marca si tratta e cercare le credenziali di default sui tanti siti che le mettono a disposizione.

Comunque, le passowrd sono più o meno sempre le stesse cambiano gli username.

Io mi sono creato un piccolo dizionario… 5-6 username => 70-80 password beh al 90 % hai le porte aperte :P

Basta un scriptino di merda :P
Phosphore

È una coincidenza che il computer vittima sia un mac?
Phosphore

Alcuni router permettono di sostituire il firmware. C’è un modo per modificarne uno e inserirci del codice maligno per infettare il computer o per fare altro? Magari è possibile fare una sorta di sniffing? Illuminami, buzzurro..
clshack

@Phosphore:

Era per far vedere, che non centra il pc, non si è immuni se si usa linux ecc… dipende dal router :P

Ti illumino buzzuro :P è possibile… magari anche mandarti una copia del traffico a te :P

Solo che è un bel casino :P

Buona fortuna :P io non sono capace per ora…
Phosphore

Immaginavo.. comunque bell’articolo! (come al solito sei l’unico tra i tanti lamerozzi buzzurri che colpisce) :D
stay tuned
Giorgio

Ottimo articolo come sempre :)
Due domande.. Nel caso di accesso “locale” che vantaggi si potrebbero avere rispetto a un arp poisoning?
E nel caso in cui configuriamo il nostro dns, cosa succede nel caso in cui la vittima visiti un qualsiasi altro sito “autentico”? Funziona tutto normalmente?
clshack

@Phosphore:
Ma tu sei un lamerozzo buzzurro :D

@Giorgio:

Grazie :D

Nel caso di accesso “locale” che vantaggi si potrebbero avere rispetto a un arp poisoning?

Vantaggi ben pochi, con un arp poisoning tutto il suo traffico passa da te, quindi password cookie e altre cose interessanti, in più anche con ettercap, sfruttando l’arp poisoning, puoi dare una dare una falsa risposta (plugin dns spoof ) e quindi fottere l’utente che pensa di aver visitato il sito giusto… mentre con questo “dns attack” puoi solo effettuare attacchi mirati di phishing oppure, mandare exploit…l’unico vantaggio sembrerebbe dal fatto che prendi solo il traffico che ti interessa(falsi solo gli indirizzi internet che vuoi attaccare) e funziona da remoto…

L’utente, poi ignaro di tutto continua a navigare tranquillo…
Se un sito non è impostato come fake, il server di dns manda la risposta autentica =>
return socket.gethostbyname(domain)
Quindi sul server, devi impostarti dei server dns…
Phosphore

AAAh.. chuck norris mi ha preceduto..
http://www.dlink-forum.info/index.php?topic=211.0
Phosphore

Però non infetta il firmware.. basta un reset per mandarlo a puttane. L’utente medio non cambia password al router.. figurarsi se si mette a mettere su il firmware.. l’utente medio è buzzurro..
clshack

@Phosphore:
La cura consiste nello spegnere e riaccendere il router, o.O
Ma che minkia dice ? o.o

Basta un secondo… quasi tutti i router sono vulnerabili da csfr basta sfruttare ajax per per modificare la password del router i dns e fottere l’utente per sempre** …
Phosphore

mmmh.. csfr eh? hai scritto qualche articolo in proposito?

“Cross-site request forgery, also known as a one-click attack or session riding and abbreviated as CSRF (“sea-surf”)or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that the website trusts. Unlike cross-site scripting (XSS), which exploits the trust a user has for a particular site, CSRF exploits the trust that a site has in a user’s browser.”

c’è qualche tool in particolare che fa questo lavoro?
clshack

@buzzurro:

google è tuo amico :P
Insidioso93

Come è possibile entrare nel router dall’esterno se questo lo permette?
clshack

@Insidioso93:

http[s]://ip

telnet ip

Ecc ecc
Pingback: ISR-Evilgrade ToolKit ._. [fake update] | Clshack
giaba90

esperienza personale:
primo giorno di wardriving,trovo un wifi libero, mi collego. Indirizzo ip del router, pannellino di login. Faccio una prova niente. Uno sniffing, una googlata con la marca del router, e sono entrato dentro le impostazioni.
Mi sfoglio tutte le opzioni e poi faccio il logout.
Cioè se applico sta tecnica li posso rovinare. Voi ci pensate che rischio che si corre quando si lasciano le password di default?
clshack

@giaba90:

perchè farlo su un wifi libero :D

Fai su un range di ip che hanno il router che consente l’accesso anche dall’esterno e boom :D

Tutto questo perchè nessuno cambia le password di default :D

…
http://www.yahoo.it Anonimo895

@clshack: L’articolo è interessante, ci sono delle cose che non mi sono chiarie, perfavore ti prego di rispondermi, caspita i tuoi articoli sono interessantissimi davvero, perchè ti ostini a non aiutarmi? Dimmi?
Se per te ti rompo le scatole, va bene, come vuoi, tanto è sempre stato cosi per me. Grazie per la tua risposta.
http://www.yahoo.it Anonimo

Articolo davvero interessante.
la mia email è umilemorano@yahoo.it scrivimi quando puoi!
Sono cliente Visa Italia e Paypal e di una Banca Prestigiosa.
http://www.yahoo.it Gulliver P

Ho bisogno di alcune informazioni su questo articolo.
La mia e-mail è gulliver_presley@yahoo.it.
Ho bisogno di alcune informazioni su come trovare i dns corrispondenti ad un IP o ad un sito.

Grazie Mille
clshack_

Che informazioni ?
badresu

e nel caso di un router da 4 soldi tipo alice gate, il piano salta :)?