Intentado hacer ataque Evil Twin: Portal cautivo no funciona.

Iniciado por DaWrench, Mayo 07, 2022, 07:54:20 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 07, 2022, 07:54:20 AM
Hola a todos.
Estoy tratando de llevar a cabo un ataque evil twin en una máquina Ubuntu 20.04. Está limpia. Además de las actualizaciones, sólo tiene instalado apache2, MariaDB y git (decidí volver a empezar con lo justo para tratar de resolver el problema).
Los portales cautivos que he probado los he sacado de:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Inicio el servidor web y MariaDB:
Código: php
service apache2 start

Código: php
serviec mysql start


Configuro la base de datos (he probado con mis propios datos y los de ambos enlaces, pero he decidido poner los del segundo enlace):



He probado a insertar manualmente la contraseña y, como veis, funciona.

Pruebo el sitio web dirigiéndome al servidor local:



Y cuando doy a enter, me aparece este error:



Estos son los archivos de configuración del portal:



Y mirando connect.php, las últimas líneas resultan muy familiares:



No tengo puñetera idea de programación, pero veo que los usuarios, la base de datos y la contraseña coinciden. He probado a buscar en Internet pero no he visto a nadie que le haya sucedido lo mismo.
¿Me estoy saltando algo? ¿Me falta alguna librería? ¿Algún archivo en /etc que deba configurar?
Ya no sé que hacer, estoy desesperado.
Jelp.[/size]
Mayo 07, 2022, 09:28:40 AM #1
Hola DaWrench.
Parece que apache no esta reconociendo los archivos php. Talvez podrias revisar que version de php tienes instalado y si apache esta configurado para manejar archivos php.

Si no lo tienes lo puedes instalar con
Código: php
sudo apt install php
.
Despues solo toca configurar el archivo de apache httpd.conf para que maneje archivos .php
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta




Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn
Mayo 07, 2022, 10:17:44 AM #2
Hola d3adly. Gracias por la rapidez en responder.

He descargado los paquetes de php que indican los mensajes y, al menos, cuando introduzco los datos en el portal, ya pasa la siguiente pantalla como debería. La cosa ahora es que la db de mysql no recoge esos datos.

Y he estado siguiendo esto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Cuando escribo localhost/connect.php, no me muestra los datos de la base de datos sino que automáticamente cambia a la pantalla de carga:
Mayo 07, 2022, 05:59:53 PM #3 Ultima modificación: Mayo 07, 2022, 06:01:25 PM por AXCESS
Observación:

Cuando crea un Portal Cautivo, a día de hoy y con los navegadores actualizados (como corresponde), debe tener un certificado emisor válido para el portal cautivo y así sea cargado por el navegador; de lo contrario lo bloquea por seguridad.

No importa que sea en un servidor local como es el caso que muestra. No tiene certificado.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mayo 08, 2022, 05:30:50 AM #4
Pero la cosa es que el portal si carga, el problema es que las contraseñas que introduzco en él, no son registradas en la base de datos.
Aún así, cómo consigo un certificado?
Mayo 08, 2022, 08:39:53 AM #5
La buena noticia es que he la base de datos ya guarda las contraseñas.
La mala es que cuando me conecto al AP falso desde otra máquina (PC o Android) no soy redirigido al portal. Ni siquiera cuando accedo a algún sitio HTTP.
Estas son las instrucciones de hostapd.conf y dnsmasq.con:

DNSMASQ:
Código: php
interface=wlx5ca6e6a302a8
dhcp-range=192.168.2.2, 192.168.2.30, 255.255.255.0, 12h
dhcp-option=3, 192.168.2.1
dhcp-option=6, 192.168.2.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1
[/size]

HOSTAPD:
Código: php
interface=wlx5ca6e6a302a8
driver=nl80211
ssid=TP-LINK_E146
hw_mode=g
channel=8
macaddr_acl=0
ignore_broadcast_ssid=0


Configuro el enrutamiento:
Código: php
ifconfig wlx5ca6e6a302a8 up 192.168.2.1 netmask 255.255.255.0
route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1


Luego iptables:
Código: php
iptables --table nat --append POSTROUTING --out-interface enp0s3 -j MASQUERADE
iptables --append FORWARD --in-interface wlx5ca6e6a302a8 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward


Inicio los servidores:
Código: php
service apache2 start
service mysql start


Comienzo el ataque:

Código: php
hostapd hostapd.conf
dnsmasq dnsmasq.conf


A veces también uso:
Código: php
dnsspoof -i wlx5ca6e6a302a8


Pero obtengo el mismo resultado.
Mayo 08, 2022, 07:25:04 PM #6 Ultima modificación: Mayo 08, 2022, 08:33:36 PM por AXCESS
Fíjese en Fluxion que es el evil twin más actualizado, como ofrece un certificado. También los servicios que levanta.

Recomiendo comprar uno (certificado) si desea crear un proyecto serio y que le funcione sin ser detectado o que levante sospechas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

MÍrele el candadito... y como Firefox me lo detecta con la barra de redirección (servidor web) y logueo.
Este es un portal privado pero que tiene salida a internet; o sea desde internet se puede acceder a él para unirse a una intranet de juegos.
Las imágenes ya las tenía subidas y son de otras ocasiones.

No obstante,existen certificados gratuitos de corta validez (buscar en internet), que no son apropiados para lo que desea realizar, precisamente por que se usan para intereses espurios.

Ha probado levantar el portal con pfsense?
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mayo 09, 2022, 03:19:52 AM #7
Echaré un vistazo a Fluxion, como dices.
No he probado con el pfsense, eso se va de mi comprensión. Lo único que sé de firewalls son unos cuentos comandos de iptables. Necesitaría algo que me llevase de la mano.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario