Tema serangan Man in the Middle dalam konteks Captive Portal sama tuanya dengan dunia. Sebagai aturan, kita berbicara tentang meningkatkan titik akses nirkabel palsu dengan portal Captive-nya sendiri. Hari ini saya akan menunjukkan vektor serangan yang sama sekali berbeda yang melampaui WiFi dan juga dapat diterapkan di jaringan Ethernet kabel.
Cakupan portal jebakan sangat luas, tetapi saat ini portal paling sering berfungsi sebagai cara untuk mengidentifikasi pengguna di tempat umum yang ingin menggunakan Internet di jaringan WiFi publik.
Sebagai pengatur langsung akses Internet, layanan jaringan ini memiliki kemampuan untuk memblokir atau melewati koneksi klien. Setelah berada dalam jaringan yang diisolasi oleh portal, klien harus memahami bahwa pra-otorisasi diperlukan untuk mengakses Internet. Dari sisi Captive Portal, langkah-langkah berikut dapat diterapkan:
- Kirim pengalihan HTTP ke semua permintaan web klien "terbuka".
- Tanggapi dengan alamat IP portal untuk semua permintaan DNS.
- Alihkan secara kasar semua lalu lintas web ke halaman portal.
Di sisi klien, ada juga mekanisme tambahan untuk mendeteksi keberadaan portal jebakan. Mereka berbeda untuk sistem operasi dan browser, tetapi algoritme umumnya serupa - menyelesaikan domain tertentu dan memeriksa ketersediaan file.
Untuk Windows Vista \ 7 \ 8, periksa ini - www.msftncsi.com/ncsi.txt
Untuk Windows 10 - www.msftconnecttest.com/connecttest.txt
Untuk iOS - www.apple.com/library/test/success.html
Android dan Chrome membuat permintaan / generate_204 untuk salah satu domainnya.
Poin utama di sini adalah penggunaan HTTP kosong. Ini dilakukan agar Captive Portal dapat mengirim redirect ke klien ke halaman login.
Sekarang saya akan menjelaskan bagaimana Anda dapat membuat Captive Portal hanya dengan menggunakan Intercepter-NG dan melakukan serangan MiTM.
Mari kita gunakan ARP Spoofing terhadap target yang dipilih untuk pengujian, biarkan saja Windows 10. Kemudian kita perlu "mengisolasi" target dari Internet, seperti yang dilakukan portal-trap yang sebenarnya. Dalam hal ini, cukup mengaktifkan SSL MiTM dan "Internet" dalam bentuk browser dan semua layanan yang menggunakan HTTPS dalam pekerjaannya akan berhenti berfungsi, karena akan ada masalah dalam mempercayai sertifikat SSL.
Dihadapkan dengan tidak dapat diaksesnya HTTPS, target akan meluncurkan mekanisme verifikasi koneksi yang telah dijelaskan sebelumnya. Khusus untuk implementasi Captive Portal, penangan untuk pemeriksaan semacam itu ditambahkan ke Intercepter, sebagai hasilnya, ia akan mengirimkan target pengalihan ke alamat IP-nya sendiri. Dalam mode FATE interseptor, server web sederhana digunakan dan di sana Anda juga dapat memilih templat dengan halaman portal. Alhasil, target akan terkirim ke portal yang kita buat.
Berikut beberapa poin menarik:
1. Windows memiliki banyak proses jaringan berbeda yang berjalan di latar belakang. Jika, selama pelaksanaannya, terjadi koneksi yang tidak berhasil, maka mekanisme untuk menentukan status jaringan dapat diluncurkan. Sedang diserang Windows akan menangkap pengalihan Intercepter dan membuka browser dengan portal kami. Bayangkan situasinya: sesi pengguna diblokir, pengguna kembali ke tempat kerja, log in - dan halaman web penyerang segera muncul di layar.
2. Serangan terjadi, target membuka Chrome dan mencoba masuk ke Google. Kesalahan SSL terdeteksi karena aktifkan MiTM, lalu Chrome mengirimkan permintaan / generate_204 - Intercepter merespons dengan pengalihan dan Chrome membuka halaman portal di tab baru.
Teknik ini bekerja pada jaringan nirkabel dan kabel, pada waktu tertentu, tidak hanya setelah tersambung ke jaringan. Beberapa tes dilakukan pada smartphone Android - penerbangannya normal. Belum jelas dengan Apple, pada iOS versi 12 dan 13, tidak ada permintaan HTTP diagnostik yang ditemukan saat memblokir HTTPS, masalah ini dapat diselesaikan di masa mendatang.
Ruang lingkup portal MiTM ini hanya dibatasi oleh imajinasi. Sedikit lebih banyak detail dan demonstrasi lengkap disajikan di klip video berikutnya. Ini menunjukkan intersepsi input pengguna, otorisasi Twitter menggunakan SSL Strip dan HSTS Spoofing, serta intersepsi otorisasi SSL Vkontakte.
→ Perakitan yang diperbarui dapat diunduh di Github
Informasi diberikan untuk ditinjau, gunakan untuk perbuatan baik. Obrolan Telegram tersedia .