Το προφίλ μας στο Google Plus
4

WPAD Man-in-The-Middle Attack

Μια φλόγα (όχι αναγκαία η Ολυμπιακή) αποδεικνύεται αρκετή να μας βάλει φωτιά μέσα στο καλοκαίρι. Πριν όμως κάνετε πράξη το μότο της Πυροσβεστικής Υπηρεσίας «Κάνε αμέσως κάτι» και καλέσετε το 199, αναλογιστείτε μήπως μπορείτε να αναβαθμίσετε το γεγονός σε πρώτης τάξης learning experience! Αν πάλι σας έχουμε μπερδέψει, μη σκάτε, ακόμα δεν αρχίσαμε! Δύο είναι τα πιθανά ενδεχόμενα στο δειγματοχώρο μας: Ή συμπέρασμα θα βγάλουμε ή στάχτη όλα θα γίνουν!

deltaHacker 012 (τεύχος Σεπτεμβρίου 2012) | WPAD Man-in-The-Middle Attack

Όπως θα έπρεπε να γνωρίζετε, οι εξωγήινοι δεν έχουν ανάγκη να φορτίσουν τις μπαταρίες τους, δεν μετακινούνται από το Α στο Β αν δεν υπάρχει σοβαρός λόγος, ούτε έχουν κάποια άλλη ανθρώπινη ανάγκη. Έτσι, ένα editorial σαν εκείνο του deltahacker 010 τούς φαίνεται ακατανόητο — αν και ομολογουμένως διασκεδαστικό. Οι εξωγήινοι ασχολούνται με κάθε λογής ασήμαντα πράγματα κι αναλώνονται σε λεπτομέρειες που κανένας άλλος δεν θα πρόσεχε. Έτσι, ο εξωγήινος της διπλανής πόρτας, δηλαδή ο γράφων, πέρασε αρκετό χρόνο το καλοκαίρι μελετώντας την αναπαραγωγή ενός σχετικά νέου malware, με το όνομα Flame.

Το να μιλάω για τον εαυτό μου σε τρίτο πρόσωπο είναι τουλάχιστον παράξενο, γι’ αυτό και το γυρίζω αμέσως σε πρώτο.

Αυτό που τράβηξε την προσοχή μου, λοιπόν, ήταν ότι το Flame αναπαράγεται αξιοποιώντας μια ευπάθεια του 2007. Αναφέρομαι στο WPAD MiTM attack. Μερικούς μήνες πριν, συζητούσαμε με τον subZraw για το πόσο έχουν εξελιχθεί τα νέα συστήματα και σχολιάζαμε ότι είναι σχεδόν αδύνατο να προσβληθούν από μια τόσο χαμηλού επιπέδου επίθεση. Πώς τα κατάφερνε άραγε αυτή η μικρή φλόγα; Ο προβληματισμός μου ήταν έντονος και ξεκίνησα αμέσως μια διεξοδική έρευνα γύρω από το ζήτημα. Μετά από ατελείωτες ώρες αναζητήσεων και μελέτης, οι προσπάθειές μου κατέληξαν σε ενδιαφέροντα αποτελέσματα. Το WPAD MiTM attack δεν πέθανε και δεν παροπλίστηκε ποτέ. Είναι αυτό που λέμε και στον πλανήτη μου, alive-and-kicking! Αρκεί να σας πω ότι υπάρχει πλέον και σχετικό module για το Metasploit. Όπως καταλαβαίνετε, η διαπίστωση αυτή οδήγησε σε χαρές και πανηγύρια: Είχε παρουσιαστεί μια ευκαιρία για νέες δοκιμές και πειραματισμούς :)

Διαβάστε όλο το άρθρο στο deltaHacker 012 (τεύχος Σεπτεμβρίου 2012). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και security που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

4 Responses to “WPAD Man-in-The-Middle Attack”

  1. sc0rpion | 22/09/2012 at 22:53

    Εχω να σου κανω μια ερωτηση φιλε μου, στο αρθρο γραφεις οτι καθε φορα που ζηταμε μια διευθυνση απο τον browser αυτος στρεφεται αρχικα στον τοπικο DHCP,
    αν δεν παρει απαντηση στρεφεται στους DNS και αν και παλι δεν παρει απαντηση
    στρεφεται στο NetBIOS, αρα καθε φορα αποτυγχανει να παρει απαντηση απο DHCP και DNS, γιατι γινεται αυτο?

    Και δευτερον, πως ακριβως μαθαινουν οι υπολοιποι υπολογιστες οτι υπαρχει πλεον WPAD server? Ποια δεδομενα στελνοντε κατα αυτη την διαδικασια στο LAN (περα απο τα περιεχομενα του wpad.dat)?

    • 41i3n | 22/09/2012 at 23:42

      Καλησπέρα φίλε sc0rpion.

      Εκ παραδρομής γράφτηκε στο άρθρο ότι η διαδικασία γίνεται κάθε φορά που ζητάμε μια διεύθυνση. Στην πραγματικότητα γίνεται ακριβώς πριν αναζητηθεί η πρώτη διεύθυνση.

      Μόλις λοιπόν ανοίξουμε τον browser αν είναι επιλεγμένη το “Automatically detect settings” τότε μόλις ζητήσουμε το πρώτο URL ο browser πριν αναλάβει να μας εξυπηρετήσει κάνει την παραπάνω διαδοχική αναζήτηση σε DHCP, DNS και NetBIOS για να βρει ένα host με το όνομα WPAD. Αν πάρει απάντηση κάνει ένα HTTP GET το http://wpad/wpad.dat. Αν στη θέση αυτή βρεθεί ένας web server και μοιράσει το κατάλληλο configuration τότε ο browser το αποδέχεται χωρίς δεύτερη κουβέντα και ισχύει μέχρι νεοτέρας!

      Ακριβώς με τον ίδιο τρόπο (για να απαντήσω και στη δεύτερη ερώτηση σου) οι υπόλοιποι browsers του δικτύου (με την ανάλογη επιλογή για αυτοματοποιημένο proxy auto discovery) αναζητούν και αποδέχονται το configuration.

      Στο δίκτυο το traffic μπορούμε να πούμε πως χωρίζεται σε δύο κατηγορίες. Αυτό της αναζήτησης του wpad host με τα ανάλογα DHCP, DNS και NetBIOS requests/responses και σε αυτό της λήψης του configuration wpad.dat που είναι καθαρό HTTP GET request και response.

      Ελπίζω να σε κάλυψα. Πιο πολλές πληροροφίες μπορείς να βρεις στο άρθρο της Wikipedia για το Web Proxy Autodiscovery Protocol.

  2. P@vlos | 20/10/2012 at 14:24

    Δουλευει μονο με Internet Explorer?

    • 41i3n | 20/10/2012 at 18:13

      Όχι μόνο με IE. Αν διαβάσεις το άρθρο θα δεις ότι υπό προϋποθέσεις δουλεύει και με άλλους browsers. Μπορεί όμως να χρειαστεί να καταφύγεις σε DNS spoofing αντί για Netbios spoofing. Σίγουρα ο Firefox δεν υποστηρίζει DHCP discovery, μόνο μέσω DNS. Το ίδιο και ο Chrome για Windows, τουλάχιστον μέχρι την έκδοση 13.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων