Hacking Guest Wi-Fi Portals on Linksys Access Points

数年前から、一部のLinksysのアクセスポイントがゲストユーザーのアクセスを容易にする方法には欠陥があります。

市場に出回っているほぼすべてのアクセス ポイントは、ゲスト ユーザーが接続できるように WPA2-PSK で保護された SSID を宣伝しています。 管理者は事前共有キーを設定し、それをゲストユーザーに提供します。 ユーザーは、事前共有キーを使用してAPを認証します。 認証プロセスを含め、APとのすべての通信が暗号化されます。

Linksys は、いくつかの AP において、これを少し違った方法で処理することを選択しました。 AP は、WPA2-PSK 暗号化された SSID を提供するのではなく、暗号化されていないオープンな SSID をアドバタイズします。 ゲストがこのSSIDに接続すると、サインインポータルが表示され、パスワードを入力します。このパスワードは、ゲスト全員で共有される事前共有鍵です。

Comcast Xfinity の顧客に提供されているアクセス ポイントを含む他のアクセス ポイントでも、暗号化されていない SSID を提供してユーザーに Web ポータルを提供していますが、少なくともポータルは SSL で暗号化されており、プレーンテキストのパスワードが無線で送信されることはありません。

無線で暗号化されていないパスワードを盗聴する

注意: airmon-ng および airodump-ng コマンドの使用に慣れていない場合は、これらのツールの構文に関してより詳細に説明した以前の記事をチェックすることをお勧めします。

ご想像のとおり、無線ゲストのパスワードは暗号化されずに空中を送信されるため、このトラフィックを盗聴し、ゲスト ポータルを介して無料のインターネット アクセスにアクセスすることは非常に簡単です。

Kali 内で、互換性のあるワイヤレス アダプターをモニター モードにします。

airmon-ng start wlan0

次に、airodump を起動してターゲット SSID を特定します。 集めなければならない重要なデータは、アクセスポイントが動作しているチャンネルと、アドバタイズされているSSIDのBSSIDです。

airodump-ng wlan0mon

チャンネルと、公開されている SSID の BSSID を収集したら、その SSID を目的とするトラフィックのスニッフィングを開始できます。 まず、Kaliマシンのrootの作業ディレクトリにいることを確認します。 airodump でデータのキャプチャを開始すると、Wireshark で分析できるパケットキャプチャファイルを含むいくつかのファイルが作成されます。

cd ~airodump-ng -c 6 --bssid DE:AD:BE:EF:00:00 -w LinksysCapture wlan0mon

このコマンドでは、-c フラグでターゲットの SSID が使用しているチャンネルを指定し、-bssid フラグで上で集めた SSID の BSSID を指定し、-w フラグで出力ファイルの名前を指定します。

このコマンドを実行すると、指定した特定の SSID に対する airodump の出力を見ることができます。 STATION列では、ステーションがいつ接続したかを見ることができます。

Capturing the Password and Evaluating with Wireshark

この時点では、有効なユーザーが安全でない SSID に接続し、ゲストパスワードを入力するのを待たなければならないため、待ちのゲームとなります。 ユーザーが接続すると、STATION列の下にMACアドレスが表示されるはずです。

新しいターミナルを開き、既存の .cap ファイルを別の .cap ファイルにコピーすることで、キャプチャされているファイルのスナップショットを取ることができます。

cp LinksysCapture-01.cap cap.cap

これを使用して、最初のスキャンを実行したまま、Wireshark で評価するためのスナップショットを取ることができます。これは、誰かが接続したが正しいパスワードを入力しなかった場合や、オープンな SSID を通して無料でインターネットを利用できると考えた後にパスワードを入力しようとしなかった場合に備えたものです。

出力のスナップショットである cap.cap を開き、Wireshark の表示フィルタを使用します。このフィルタは、キャプチャ出力の上にあるフィルタ バーに入力することで簡単に入力できます。 このフィルターは、ゲスト ポータル ウェブページが Linksys AP にパスワード データを提供する方法である http POST リクエストのみを表示します。

Wireshark ウィンドウの中央部分で、下までスクロールして JavaScript Object Notation.application/json のコンテンツを展開すると、次のように表示されます。 このオブジェクトには、ゲスト PC の MAC アドレス、AP から提供された IP アドレス、平文のゲスト パスワード (このキャプチャでは “password.”) が含まれています。”

結論

このようにゲストのログインを処理する Linksys AP で「Guest Access Portal」機能を使用している場合、その AP をより安全な AP に交換するか、またはインターネット接続にただ乗りされたくない場合は、少なくとも機能を無効にすることを検討する必要があります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です