Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]

•

1 like•3,306 views

The document discusses bypassing WiFi paywalls and typical solutions used for WiFi paywalls. It describes weaknesses in typical implementations, including spoofing MAC and IP addresses. It then presents a shell script to exploit these weaknesses by searching for authenticated hosts and testing internet access. Finally, it discusses porting this approach to Android and provides recommendations for mitigating these attacks, such as using proper layer 2 isolation and restricting MAC addresses.

Technology

1
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Bypassing wifi pay-walls with
Android
Pau Oliva Fora
<pof@eslack.org>
@pof

2
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Agenda
Typical wifi pay-wall solutions
Networking 101: understanding the weaknesses
Abusing the weaknesses with a shell script
Android port (for fun and no-profit)
Attack mitigation recommendations

3
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
TYPICAL WIFI PAY-WALL
SOLUTIONS

4
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions
Unauthenticated users redirected to a captive
portal website, asking for credentials or payment

5
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions

6
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions

7
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions
Gateway replies to all ARP requests with its own
MAC address (used for client isolation):
Who has 192.168.30.15?
192.168.30.15 is at 1e:a7:de:ad:be:ef
Who has 192.168.30.32?
192.168.30.32 is at 1e:a7:de:ad:be:ef
Who has 192.168.30.77?
192.168.30.77 is at 1e:a7:de:ad:be:ef

8
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions
iptables -
HTTP traffic

9
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions
iptables -
HTTP traffic
Sends a 301 to an HTTPs webserver

10
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions
iptables -
HTTP traffic
Sends a 301 to an HTTPs webserver

11
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions

12
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions

13
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions
Authenticate the user via RADIUS

14
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions

15
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions
Authenticate the user via RADIUS
Once the user is authenticated, the gateway
(NAS) knows about it by a combination of:
IP Address
MAC Address
HTTPS Cookie
Authenticated
sessions
Unauthenticated
sessions

16
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Typical wifi pay-wall solutions

17
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
NETWORKING 101:
UNDERSTANDING THE
WEAKNESSES

18
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Networking 101: understanding
the weaknesses
MAC addresses can be spoofed
ifconfig wlan0 hw ether 00:00:8b:ad:f0:0d
ip link set dev wlan0 address 00:00:8b:ad:f0:0d
IP addresses can be spoofed
ifconfig wlan0 192.168.30.49
ip addr add 192.168.30.49 dev wlan0

19
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Networking 101: understanding
the weaknesses
MAC addresses can be spoofed
IP addresses can be spoofed
We only need to find an authenticated host

20
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Networking 101: understanding
the weaknesses
MAC addresses can be spoofed
IP addresses can be spoofed
We only need to find an authenticated host
Bonus: Sometimes APs or switches can reach the
internet! :)

21
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ABUSING THE WEAKNESSES
WITH A SHELL SCRIPT

22
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Abusing the weaknesses with a
shell script
Loop through all IP addresses

23
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Abusing the weaknesses with a
shell script
Loop through all IP addresses
Get the MAC address for each IP
If MAC == Gateway MAC: use arping and discard the

24
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Abusing the weaknesses with a
shell script
Loop through all IP addresses
Get the MAC address for each IP
If MAC == Gateway MAC: use arping and discard the
host IP/MAC

25
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Abusing the weaknesses with a
shell script
Loop through all IP addresses
Get the MAC address for each IP
If MAC == Gateway MAC: use arping and discard the
host IP/MAC
Test for internet access (eg: ping 8.8.8.8)

26
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Abusing the weaknesses with a
shell script

27
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ANDROID PORT (FOR FUN
AND NO-PROFIT)

28
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Android port (for fun and no-profit)

29
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Android port (for fun and no-profit)

30
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Android port (for fun and no-profit)

31
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ATTACK MITIGATION
RECOMMENDATIONS

32
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Attack mitigation recommendations
1. Use a proper layer 2 user isolation (eg: PSPF on
Cisco gear)
2. Use switchport
on Cisco gear)

33
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Attack mitigation recommendations
1. Use a proper layer 2 user isolation (eg: PSPF on
Cisco gear)
2. Use switchport
on Cisco gear)
Extra protection (sniff wlan traffic):
Do not allow traffic from the same MAC address on different
switchport port- causes

34
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Attack mitigation recommendations
1. Use a proper layer 2 user isolation (eg: PSPF on
Cisco gear)
2. Use switchport
on Cisco gear)
Extra protection (sniff wlan traffic):
Do not allow traffic from the same MAC address on different
switchport port- causes
All major WISP in Spain are vulnerable to this attack
(*except one)

35
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Attack mitigation recommendations
1. Use a proper layer 2 user isolation (eg: PSPF on
Cisco gear)
2. Use switchport
on Cisco gear)
Extra protection (sniff wlan traffic):
Do not allow traffic from the same MAC address on different
switchport port- causes
All major WISP in Spain are vulnerable to this attack
(*except one)

36
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Attack mitigation recommendations
1. Use a proper layer 2 user isolation (eg: PSPF on
Cisco gear)
2. Use switchport
on Cisco gear)
Extra protection (sniff wlan traffic):
Do not allow traffic from the same MAC address on different
switchport port- causes
All major WISP in Spain are vulnerable to this attack
(*except one)

37
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Contact: @pof | <pof@eslack.org> | github.com/poliva

This document discusses vulnerabilities in aviation technology. It describes how aircraft communication systems like ACARS and ADS-B can be exploited to gather information or interfere with flight systems. Newer wireless technologies for updating aircraft software systems could also provide new attack vectors. The document demonstrates hacking an aircraft's autopilot system using a drone and modified software. It promotes further research into aviation security issues.

Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]

RootedCON

This document discusses manipulating the iOS update process without a BootROM exploit. It notes that iOS 5 introduced over-the-air software updates and backup via WiFi. The iOS OTA update process uses HTTP to download update files from Apple servers, including a plist file listing URLs for the iOS version files. The document explores if this update process could be manipulated without a new BootROM exploit.

Francisco Jesús Gómez & Carlos Juan Diaz - Sinfonier: Storm Builder for Secur...

RootedCON

This document discusses security intelligence and the intelligence cycle of direction, collection, analysis, and dissemination. It provides definitions of intelligence from official sources and describes how tools can help integrate, structure, enrich, classify, store, analyze, and real-time process large amounts of information. The rest of the document focuses on introducing Apache Storm, a free open source distributed real-time computation system, and how it can be used to define modules, make topologies to run them on Storm, and demo use cases like monitoring tweets or torrent peers. It invites readers to become beta testers.

How to build Big Brother

Payment Village

This document describes how to build surveillance capabilities by exploiting vulnerabilities in internet-connected devices like routers and modems. It discusses identifying devices, injecting code through exploits or firmware modifications, intercepting data, cloning SIM cards for cellular attacks, infecting device hosts, and creating advanced persistent threats between subscribers. The goal is to surreptitiously monitor people without their consent by turning everyday devices into spying tools.

Sarbanes Oxley IT Competitive Advantage.

Robert Brown

APT

morisson

Layakk - Atacando 3G Vol. 2 [rootedvlc2]

RootedCON

Este documento resume los resultados de una investigación sobre vulnerabilidades en las comunicaciones móviles 3G. Explica cómo es posible realizar ataques de IMSI Catching y denegación de servicio selectiva en 3G utilizando una estación base falsa. También discute trabajos futuros como la geolocalización en 3G y el downgrade selectivo a 2G. Concluye que estos ataques son viables técnicamente a pesar de las mejoras de seguridad en 3G con respecto a 2G.

Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]

RootedCON

Si tuvieras un Big Data con 4.3 millones de apps de Android con toda su información despiezada, indexada, catalogada y disponible para analizar… ¿Qué podrías hacer? En esta sesión vamos a ver cómo se puede utilizar un Big Data de estas capacidades para hacer de él algo similar a Shodan o al Hacking con Buscadores. Ejemplos y demos de cómo crear dorks para hacer pentesting de empresas y qué trucos de hacking se pueden explotar con esta información.

Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...

RootedCON

Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...

RootedCON

Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...

RootedCON

El documento describe cómo adaptar un exploit para una vulnerabilidad (CVE-2012-6096) en un programa (history.cgi) para que funcione en un sistema objetivo diferente. Explica cómo depurar el programa CGI, identificar la dirección de retorno y las direcciones de funciones como system() y exit(), y construir una secuencia de instrucciones ROP para ejecutar comandos con privilegios de sistema a pesar de las protecciones como ASLR y NX.

Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...

RootedCON

El documento presenta una introducción al algoritmo RSA, que cumple 36 años. Explica brevemente cómo funciona RSA y los ataques más comunes como la factorización de enteros y el cifrado cíclico. Luego, muestra demostraciones prácticas de varios ataques como la paradoja del cumpleaños y los ataques por canal lateral, que son una gran amenaza a pesar de no estar dirigidos específicamente a RSA.

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que q...

RootedCON

El documento describe una investigación realizada por el Grupo de Delitos Telemáticos tras un ciberataque a una compañía de telecomunicaciones en España. El ataque involucró malware descargado al hacer clic en un archivo adjunto malicioso en un correo electrónico. La investigación incluyó análisis de memoria RAM, paquetes de red, discos duros y otros dispositivos para identificar el malware y las conexiones de comando y control. Finalmente, la investigación vinculó el ataque con locutorios que vendían fraudulentamente servicios de tele

Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...

RootedCON

Este documento resume una presentación sobre la seguridad y privacidad de Skype. Se explica que Skype ya no usa su propio cifrado propietario sino SSL, lo que lo hace vulnerable a ataques de intermediario. Además, al usar el almacén de certificados del sistema operativo, un atacante podría interceptar el tráfico inyectando un certificado malicioso. Finalmente, se concluye que Skype ha perdido gran parte de su privacidad original y que todo su tráfico ahora puede ser interceptado y descifrado.

Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...

RootedCON

Este documento presenta una charla sobre seguridad en aplicaciones de mensajería instantánea como WhatsApp y Snapchat. Los oradores discuten varios problemas de seguridad identificados en estas plataformas, incluida la falta de cifrado, la posibilidad de robar identidades y el almacenamiento inseguro de datos. También muestran cómo explotaron vulnerabilidades técnicas en el pasado para enviar mensajes no autorizados o robar conversaciones de usuarios.

Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...

RootedCON

Este documento describe la técnica de hooking y el proyecto WHF. El hooking permite interceptar eventos, mensajes y llamadas a funciones para modificar el comportamiento de aplicaciones y sistemas operativos. WHF provee ejemplos funcionales de hooks a nivel de sistema y proceso. Se detallan diferentes métodos de hooking como hooking de eventos, mensajes y funciones tanto en espacio de usuario como en espacio de kernel.

Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]

RootedCON

Este documento presenta una guía sobre seguridad en entornos web. Explica conceptos como vulnerabilidades comunes como XSS, SQL Injection y referencias inseguras. Detalla buenas prácticas como filtrar adecuadamente los datos del usuario y usar versiones actualizadas de software. También recomienda herramientas para pruebas de vulnerabilidades y sitios para practicar. El objetivo es crear conciencia sobre seguridad entre desarrolladores web.

David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]

RootedCON

Este documento describe diferentes técnicas para realizar denegación de servicio de señales de telefonía móvil. Explica cómo señales especialmente diseñadas pueden inhibir las señales 2G, 3G y 4G de forma más efectiva que el ruido blanco. Para 2G, sugiere ocultar la información de sincronización de las celdas. Para 3G, propone atacar el canal piloto común. Para 4G, recomienda atacar las portadoras piloto.

RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]

RootedCON

Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]

RootedCON

Este documento presenta una introducción al Grupo de Delitos Telemáticos (GDT) de la policía en Valencia, España. El GDT investiga delitos cibernéticos y provee apoyo técnico a otras unidades policiales. El documento describe brevemente las funciones del GDT, que incluyen el análisis de evidencia digital, la investigación tecnológica y clásica, e identifica varios canales de comunicación del GDT.

Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]

RootedCON

Este documento resume las técnicas y herramientas utilizadas para interceptar comunicaciones a través de ataques de falsificación de DNS y redireccionamiento de tráfico, como SSLstrip. Describe cómo estas técnicas se han mejorado para capturar más información y evadir obstáculos como HSTS, a través del uso de herramientas como DNS2proxy y SSLstrip2. Finalmente, concluye que aunque estas técnicas pueden mejorarse más, existen limitaciones como la pérdida potencial de información y la necesidad de estudiar cada objetivo.

Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]

RootedCON

Manu Quintans and Frank Ruiz will be giving a presentation on cybercrime trends observed between 2013 and 2014. They will discuss the evolution of cybercrime activities and infrastructure, including the rise of point of sale malware targeting payment card data, new mobile malware using TOR anonymity networks, and the growing use of cryptocurrencies. They will provide a detailed example of the 2013 Target breach that resulted in over 70 million customer records being stolen. The presentation will include a demonstration of malware samples.

Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...

RootedCON

Este documento describe los pasos para generar un APT (programa malicioso avanzado persistente) de forma legal con fines educativos. Explica cómo crear un perfil falso en redes sociales y un sitio web para recopilar información de usuarios vulnerables. Luego detalla técnicas como el phishing y el uso de exploits de navegadores para comprometer sistemas. El objetivo es demostrar las capacidades de un atacante para crear conciencia sobre la ciberseguridad.

Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...

RootedCON

1. The document discusses a presentation given by Juan Vazquez and Julian Vilas analyzing vulnerabilities in the Yokogawa CENTUM CS 3000 R3 SCADA system. 2. They discovered several buffer overflow vulnerabilities through fuzzing protocols and applications used by the system. Exploits were developed and disclosed to the vendor through a responsible disclosure process. 3. The presentation demonstrates exploits through Metasploit and discusses how an attacker could potentially tamper with process variables to manipulate control processes after gaining remote code execution on the system through the buffer overflows.

Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]

RootedCON

El documento describe varias evidencias forenses extraíbles de un sistema Mac OS X, incluyendo: (1) El Apple System Log (ASL) que registra eventos del sistema en formato binario u texto plano; (2) El archivo UTMPX que registra inicios de sesión; y (3) El Basic Security Module (BSM) que audita acciones a nivel de núcleo. Estas evidencias pueden proporcionar información sobre actividad del sistema, usuarios y posible malware.

Vicente Díaz - Birds, bots and machines - Fraud in Twitter and how to detect ...

RootedCON

Este documento resume un estudio sobre la detección de fraude en Twitter mediante el uso de aprendizaje automático. El estudio rastreó 36 campañas maliciosas durante 3 meses que involucraron a más de 13,000 perfiles y casi 200,000 tweets. Utilizando atributos como el número de enlaces, las relaciones de seguidores y el tiempo entre tweets, el aprendizaje automático pudo clasificar con éxito los perfiles automatizados y detectar anomalías. El documento concluye que aunque los bots tienen diversos propósitos, a men

Conferencia de apertura [Rooted CON 2014]

RootedCON

Este documento contiene la presentación de apertura de la conferencia Rooted CON 2014. El orador da la bienvenida a los asistentes y celebra el 5o aniversario de la conferencia. También agradece a los patrocinadores y colaboradores y menciona mejoras planeadas como un nuevo sistema de pago y una plataforma web de autogestión. El orador también discute el proceso de selección de presentaciones y reconoce a los organizadores y voluntarios que hacen posible la conferencia.

RootedCON 2014 - Kicking around SCADA!

testpurposes

June 2004 IPv6 – Hands on

Videoguy

The document discusses the 6NET project, which built and operated an IPv6 network across Europe to test IPv6 applications. It provides an overview of the 6NET network topology and details several applications that were tested over the network, including video conferencing using GnomeMeeting and OpenMCU, SIP voice calls using SIP Express Router, and IPv6 streaming demonstrations. The goal of the project was to gain experience with IPv6 and help drive further deployment through testing interoperability and applications.

Viewers also liked

Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]

RootedCON

Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...

RootedCON

Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...

RootedCON

Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...

RootedCON

Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...

RootedCON

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que q...

RootedCON

Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...

RootedCON

Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...

RootedCON

Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...

RootedCON

Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]

RootedCON

David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]

RootedCON

RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]

RootedCON

Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]

RootedCON

Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]

RootedCON

Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]

RootedCON

Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...

RootedCON

Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...

RootedCON

Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]

RootedCON

Vicente Díaz - Birds, bots and machines - Fraud in Twitter and how to detect ...

RootedCON

Conferencia de apertura [Rooted CON 2014]

RootedCON

Viewers also liked (20)