PwnBox – Installer un Rogue AP comme un nul

Introduction

Pwnbox « V2 » est un script permettant de déployer rapidement un Rogue AP. Le principe est de venir brancher le point d’accès malveillant à un réseau légitime. Ce point d’accès doit bénéficier d’une bonne portée et surtout être ouvert pour inciter l’utilisateur à s’y connecter sans se poser de question.

Par exemple dans le cas d’un hôtel ou d’une gare l’utilisateur peut capter beaucoup de points d’accès : AP des commerces, AP de la SNCF et surtout des AP proposant un wifi public ou l’on passe par un portail captif permettant de s’enregistrer. Sur notre Rogue AP l’utilisateur n’a qu’a se connecter et surfer librement sur internet.

Pour installer notre Rogue AP nous avons donc besoin d’un réseau filaire qui servira d’hôte.

Une prise murale fait très bien l’affaire dans ce cas.

Fonctionnement

L’attaque en elle même est très simple. Il s’agit de Man In The Middle. Le but est de se placer entre le serveur et le client pour lire les données et rediriger le trafic de manière transparente.

L’attaque de l’homme du milieu ou man-in-the-middle attack, parfois appelée attaque de l’intercepteur, est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. (Wikipédia).

L’utilisateur demande une page web et envoi ses identifiants de connexion qui sont intercepté par le Rogue AP puis envoyé au hacker.

Mon Rogue AP utilise un projet open source nommé net-creds qui permet d’intercepter plusieurs types de credentials.

  • URLs visited
  • POST loads sent
  • HTTP form logins/passwords
  • HTTP basic auth logins/passwords
  • HTTP searches
  • FTP logins/passwords
  • IRC logins/passwords
  • POP logins/passwords
  • IMAP logins/passwords
  • Telnet logins/passwords
  • SMTP logins/passwords
  • SNMP community string
  • NTLMv1/v2 all supported protocols: HTTP, SMB, LDAP, etc.
  • Kerberos
https://github.com/DanMcInerney/net-creds

Mise en œuvre de l’attaque

Pour mettre en place cette attaque j’ai réalisé un script permettant de créer un AP ouvert (sans mot de passe) qui lance un sniffer au démarrage puis vérifie régulièrement un fichier contenant les identifiants intercepté. Dès que ce fichier est modifié il est envoyé au pirate par mail.

https://github.com/Thomas-Clauzel/RogueAP-PwnBox

Pour l’installer c’est très simple il suffit d’une Raspbian fraichement installé sur votre RPi.

1 – Download the script

wget https://raw.githubusercontent.com/Thomas-Clauzel/RogueAP-PwnBox/master/RogueAP.sh

2 – Make it executable

sudo chmod+x RogueAP.sh

3- Run the script as root

sudo ./RogueAP.sh

4 – Reboot the raspberry PI

reboot
Démonstration de l’installation

Une fois installé votre Rogue AP apparait dans la liste des wifi disponibles. Il ne reste plus qu’a attendre qu’un utilisateur s’y connecte.

Une fois que le visiteur se log sur un site un HTTP le pirate reçoit ses identifiants par mail :

Techniquement il suffit de lancer net-creds au démarrage du RPi et de vérifier régulièrement que le fichier n’a pas changé.

Conclusion : Le Rogue AP est une technique redoutable car elle permet à l’attaquant de maitriser son réseau et peut se transformer en backdoor hardware une fois en place.

admin