Hacking Guest Wi-Fi Portals on Linksys Access Points

Seit Jahren gibt es einen Fehler in der Art und Weise, wie einige Linksys Access Points den Zugang für Gastbenutzer erleichtern. Eine kleine Recherche zeigt Beschwerden über diese Methode, die bis ins Jahr 2013 zurückreichen, und offenbar wurde das Problem bei einigen modernen Linksys-Access-Points immer noch nicht behoben.

Nahezu jeder Access-Point auf dem Markt wirbt mit einer WPA2-PSK-geschützten SSID, über die sich Gastbenutzer verbinden können. Der Administrator würde den Pre-Shared Key konfigurieren und ihn den Gastbenutzern zur Verfügung stellen. Die Benutzer würden dann den Pre-Shared Key verwenden, um sich am AP zu authentifizieren, ein Prozess, den wir alle kennen. Der Vorteil davon liegt auf der Hand – die gesamte Kommunikation mit dem AP ist verschlüsselt, einschließlich des Authentifizierungsprozesses. (Zumindest so sicher, wie WPA2 sein kann.)

Linksys hat sich bei einigen APs entschieden, dies ein wenig anders zu handhaben. Anstatt eine SSID mit WPA2-PSK-Verschlüsselung anzubieten, wirbt der AP für eine offene, unverschlüsselte SSID. Wenn sich Gäste mit dieser SSID verbinden, wird ihnen ein Anmeldeportal angeboten, in dem sie ein Passwort eingeben müssen, das ein Pre-Shared Key ist, der von allen Gästen geteilt wird. Das Problem bei dieser Implementierung ist, dass das Webportal, das zur Annahme dieses Schlüssels verwendet wird, weder mit WPA2-PSK-Verschlüsselung (da die SSID offen und unverschlüsselt ist) noch mit HTTPS verschlüsselt ist.

Andere Zugangspunkte, einschließlich der Zugangspunkte, die Comcast Xfinity-Kunden zur Verfügung gestellt werden, bieten ebenfalls eine unverschlüsselte SSID, um den Benutzern ein Webportal zur Verfügung zu stellen, aber zumindest ist das Portal mit SSL verschlüsselt und es werden keine Klartextpasswörter über die Luft übertragen.

Schnüffeln von unverschlüsselten Passwörtern über die Luft

Hinweis: Wenn Sie mit der Verwendung der Befehle airmon-ng und airodump-ng nicht vertraut sind, sollten Sie sich meinen früheren Artikel ansehen, in dem die Syntax dieser Tools näher erläutert wird.

Wie Sie sich vorstellen können, ist es, da das drahtlose Gastpasswort unverschlüsselt durch die Luft übertragen wird, sehr einfach, diesen Datenverkehr auszuschnüffeln und sich über das Gastportal Zugang zum freien Internet zu verschaffen. Die einzigen Hardware- und Software-Voraussetzungen sind ein Wireless-Adapter, der in den Monitor-Modus versetzt werden kann, und die Aircrack-Tools, die standardmäßig in Kali Linux verfügbar sind.

Aus Kali heraus versetzen wir unseren kompatiblen Wireless-Adapter in den Monitor-Modus.

airmon-ng start wlan0

Dann starten wir airodump, um unsere Ziel-SSID zu identifizieren. Die wichtigsten Daten, die wir sammeln müssen, sind der Kanal, auf dem der Access Point arbeitet, und die BSSID der SSID, die beworben wird. Diese Informationen sollten auf dem airodump-Ausgabebildschirm angezeigt werden.

airodump-ng wlan0mon

Wenn wir den Kanal und die BSSID der offenen SSID erfasst haben, können wir damit beginnen, den Datenverkehr zu/von dieser SSID zu schnüffeln. Zuerst müssen wir sicherstellen, dass wir uns im Arbeitsverzeichnis von root auf unserem Kali-Rechner befinden. Wenn wir beginnen, Daten mit airodump zu erfassen, werden mehrere Dateien erstellt, darunter eine Paketaufzeichnungsdatei, die wir in Wireshark analysieren können.

cd ~airodump-ng -c 6 --bssid DE:AD:BE:EF:00:00 -w LinksysCapture wlan0mon

In diesem Befehl gibt das Flag -c den Kanal an, den unsere Ziel-SSID verwendet, das Flag -bssid gibt die BSSID der SSID an, die wir oben erfasst haben, und das Flag -w gibt einen Namen für unsere Ausgabedateien an.

Nach der Ausführung dieses Befehls können wir die Ausgabe von airodump für die spezifische SSID sehen, die wir angegeben haben. In der Spalte STATION können wir sehen, wann eine Station eine Verbindung herstellt. Wenn eine Station eine Verbindung herstellt und das Gast-WLAN-Passwort eingibt, können wir es mit Wireshark aus der Datei LinksysCapture-01.cap extrahieren, die airodump für uns erstellt.

Passwort erfassen und mit Wireshark auswerten

An dieser Stelle heißt es warten, denn wir müssen warten, bis sich ein gültiger Benutzer mit der unsicheren SSID verbindet und das Gast-Passwort eingibt. Sobald ein Benutzer eine Verbindung herstellt, sollten wir seine MAC-Adresse unter der Spalte STATION sehen können. Der Zähler unter der Spalte Frames erhöht sich, während sie mit der SSID kommunizieren und Frames hin- und hergeschickt werden.

Wir können einen Schnappschuss der Datei machen, während sie aufgezeichnet wird, indem wir ein neues Terminal öffnen und die vorhandene .cap-Datei in eine andere .cap-Datei kopieren. Zum Beispiel:

cp LinksysCapture-01.cap cap.cap

Wir können damit einen Schnappschuss machen, um ihn in Wireshark auszuwerten, während wir den anfänglichen Scan laufen lassen, nur für den Fall, dass sich jemand verbunden hat, aber nicht das richtige Passwort eingegeben hat, oder nicht versucht hat, ein Passwort einzugeben, nachdem er dachte, er könnte über eine offene SSID freies Internet bekommen.

Wir öffnen den Schnappschuss unserer Ausgabe, cap.cap, und verwenden einen Anzeigefilter in Wireshark, der einfach durch Eingabe in die Filterleiste über der Capture-Ausgabe eingegeben wird. Dieser Filter zeigt nur http-POST-Anfragen an, also die Art und Weise, wie die Gastportal-Webseite die Passwortdaten an den Linksys-AP übermittelt.

Wenn wir im mittleren Teil des Wireshark-Fensters ganz nach unten scrollen und den Inhalt von JavaScript Object Notation: application/json, können wir alle Objekte im JSON-Objekt sehen, darunter die MAC-Adresse des Gast-PCs, die IP-Adresse, wie sie vom AP bereitgestellt wurde, und das Gast-Passwort im Klartext (in diesem Capture ist das „password“.“)

Schlussfolgerung

Wenn Sie die „Guest Access Portal“-Funktion auf einem Linksys-AP verwenden, der Gastanmeldungen auf diese Weise handhabt, sollten Sie in Erwägung ziehen, diesen AP durch einen sichereren AP zu ersetzen oder zumindest die Funktion zu deaktivieren, wenn Sie nicht wollen, dass Leute einen Freiflug über Ihre Internetverbindung bekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.