# BURN THAT CITY

![](https://hackmd.io/_uploads/rJ03LRrJa.png) # BURN THIS CITY https://www.youtube.com/watch?v=haW_ruZ_Be8 Este tutorial presenta distintas tecnicas de implementacion, automatizacion y uso de metodologias ofensivas contra **tecnologias tanto fisicas como inalambricas** que se encuentran en **entornos metropolitanos**. Enfocado a la recolecta de informacion de clientes, hashes de autenticacion de distintas fuentes, asi como herramientas y funcioinalidades ofensivas que podamos aplicar desde nuestros dispositivos. Las tematicas, de forma resumida, a tocar, son: - Hacking WIFI - OpenWRT - WPA Security - Evil-Twin attack - WPE - MANA Attack - MITM - Seguridad en redes - Networking: recon, fuzz,... - Simple MITM. - IPv6,Responder... - BT & BLE - F0 - WebSploit bluetooth - RADIO - AirSPY. TETRA Modulation. - Malduino - Kiosck bypass - Car Hacking Para ello se presentara una infrastructura ligera formada por distintos dispositivos. Muchos de ellos admiten distintas configuraciones y no necesariamente hay una forma unica de desplegar el entorno presentado. Otros, aunque son dispositivos comerciales, que pueden encarecer un poco el despliegue, se recomiendan dado a que nos dan facilidades encuento a configuraciones. - Routers: - **gl-ar300m16** - **hak5 - pinapple wifi** - RF: - **LTR-SDR** - **Proxmark3** - **MALDUINO - USB Arduino LEONARDO** - **filpper devices ink. - Flipper ZERO** - Movile: - **Pinephone** + **USB HUB** - **Samsung Galaxy A14** ## .WIFI Para ataques wifi nos centramos por una parte ne automaticar los ataques de deauth y por otra potencir las capacidades ofensivas de generar puntos de acceso, tanto a nivel de autenticacion como a nivel de despliegue. Usamos tanto el firmware nativo de OpenWRT como el de Hak5 de la "piña". cd /mnt/sda1 cp -aR /bin /etc /lib /root /sbin /usr /www . ![image](https://hackmd.io/_uploads/HyU8sdcwA.png) Ajustamos el punto de arranque /overlay a nuestra unidad externa ![image](https://hackmd.io/_uploads/SJWM1KaPA.png) https://gitlab.com/0xSamy/sweet-pineapple-builder https://github.com/q-a-z/gl-ar300m-wifipineapple Aunque la recomentadion es usar https://www.aircrack-ng.org/doku.php?id=besside-ng existen script en github que automatizan el uso de aircrack-ng como: https://github.com/tehw0lf/airbash **Configuracion basica de interfaces inalambricas. Interfaz de LUCI.** ![](https://hackmd.io/_uploads/B1oEX6rJp.png) El script de startup de luci ejecuta en / las llamadas. Tienes que tener en cuenta que si editas la configuracion de las interfaces desde luci esta reinicia los servicios de red, algunos de los programas pueden verse afectados y detener su ejecucion. Para la captura de handshakes vamos a emplear una de las interfaces monitor configuradas y emplearla con besside-ng desde el arranque. ![](https://hackmd.io/_uploads/BJlxmaS1T.png) Esta nos generara una salida de texto plano con ESSIDs BESSIDs y el estado de captura, asi como los ficheros cap resultandes. ### WPS-PINs https://github.com/kimocoder/bully https://github.com/kimocoder/bully#openwrt-builds reaver **MAS PARA TESTING:** - https://github.com/drygdryg/OneShot - https://github.com/nikita-yfh/OneShot-C - https://github.com/akashblackhat/wifi-hacking.py <span style="color:red"><b>(!)</b></span> ``` # WPS Bruteforce reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3 # WPS Pixie Dust attack reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3 # NULL PIN reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p '' ``` ### CRAKING MULT. HS FROM CAP RESULT Por lo general, aglutinamremos los hs capturados en un mismo pcap, hay que trata.rlos para no tener que ir seleccionando uno a uno con aircrack (mas por comodidad que otra cosa) - diccionarios wifi https://github.com/berzerk0/Probable-Wordlists/ https://node-security.com/posts/cracking-wpa2-with-hashcat/ ```bash tshark -r ISKHODNYY_FAYL.cap -R "(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr == BSSID" -2 -w ITOGOVYY_FAYL.cap -F pcap ``` ### OPENWRT Para trabajar con OPENWRT, primero de todos tenemos que prescindir de la memoria interna del router, ya que va a ser muy poca, y incluir una memoria USB que emplearemos como particion /overlay desde donde cargaremos el sistema de ficheros para contar con ese preciado almacenaje para nuestras herramientas, librerias, dependencias, configuraciones... Practicamente toda la configuracion se puede hacer desde el gestion de puntos de montaje de LUCI, lo mas seguro esque tengas que instalar los controladores USB en el router. ![](https://hackmd.io/_uploads/SJK9GaSJ6.png) A partir de aqui nos valdremos de los repositorios y de fuentes externas para instalar las herramientas y funcionalidades a emplear. Aqui un repositorio de herramientas destinadas a seguridad inalambrica para openwrt (arquitecturas limitadas): https://github.com/adde88/openwrt-useful-tools/ https://github.com/bernd-wechner/OpenWRT-Tools https://github.com/zorun/openwrt-hacking https://github.com/canmeng12/packages ### EVIL TWIN #### OPEN STEALER Se levantaran puntos de acceso abiertos con ESSID sugerentes para lanzar portales cautivos y resoluciones DNS falsas para captar informacion que dejen los clientes ``` Mode: Master | SSID: AirBNB Free Wifi BSSID: 92:83:C4:2B:32:49 Encryption: None Channel: 6 (2.437 GHz) Tx-Power: 20 dBm Signal: 0 dBm | Noise: -88 dBm Bitrate: 0.0 Mbit/s | Country: ES ``` https://www.smeegesec.com/2017/03/captive-portal-wifi-phishing-with.html #### WPE STEALER --- MALICIOUS EAP. Vamos a levantar puntos de acceso que permitan cualquier tipo de autenticacion y las capturar las credenciales (en claro o haseadas) en el proceso de autenticacion. Implementamos la tecnica de los WPE-STEALERS en OPENWRT, si no cuentas con dos interfaces wireless tendras dos opciones. https://github.com/jekkos/hostapd-wpe-openwrt - Cambiar el hostapd nativo que emplea openwrt para levantar sus puntos de acceso al hostapd-wpe. Puede dar problemas si la configuracion viene de Luci. Esta opcion es interesante ya que se aunque usemos las configuracion por defecto que establezcamos en LUCI, estas funcionaran, y apenas tendremos que tocar un par de cosas a nivel de "boot" para que todo funcione. - No emplear la interfaz por defecto de openwrt, y usarla unicamente para levantar los puntos de acceso. Perderemos ciertas capacidades, pero si nos interesa unicamente preparar el entronode putnos de acceso, y despues obtener los resultados en local es una buena opcion. ![](https://hackmd.io/_uploads/H1jodbUy6.png) Para preparar un entorno de captacion de credenciales mediante puntos de acceso, tenemos que tener en cuenta que la validacion de usuarios con tecnologias como RADIUS, Portnox, Citrix Gateway, ... Presentan capas de seguridad como son las distintas implementaciones que permite la autenticacion ( algunas mas seguridas que otras) asi como el uso de certificados digitales. Para generar gertificados digitales puedes usar: https://github.com/WJDigby/apd_launchpad La mayoria de tutoriales de como montar un RogeAP-WPE contemplan escenarios de configuracion muy amenos, algo que puede ocasionar problemas y frustracion. Aqui te dejo unos cuantos para que algunos te den la informacion que otros no: Desde KALI LINUX: - https://akimbocore.com/article/breaking-enterprise-wireless/ - https://warroom.rsmus.com/evil-twin-attack-using-hostapd-wpe/ - https://deephacking.tech/ataques-a-redes-wpa-enterprise-fake-rogue-ap/ **Ejemplo fichero de configuracion** https://github.com/s0lst1c3/hostapd-eaphammer/blob/master/hostapd/hostapd-wpe.conf **Sitios para descargar hostapd-wpe para openwrt** https://www.redeszone.net/2015/04/15/hostapd-wpe-openwrt-14-07-descargar/ https://github.com/jekkos/hostapd-wpe-openwrt Ahora bien. Debemos de tener en cuenta que tal y como tenemos esta configuracion OpenWRT generara la configuracion de hostapd desde la configuracion de luci si en este existen interfaces con puntos de acceso activas. Asi que tendremos que desligarnos de emplear la configuracion de puntos de acceso por defecto para tener uso de las interfaces virtualizadas. (Esto lo tenemos en cuenta porque solo contamos con una unica antena, sin embargo si cuentas con varias puedes directamente emplear la segunda interfaz fisica, pero estamos usando un router baratos asi que nos ha tocado un poco de try harder) https://versprite.com/blog/eap-tls-wireless-infrastructure/ ___ https://github.com/maneshthankappan/Multi-Channel-Man-in-the-Middle-Attacks-Against-Protected-Wi-Fi-Networks-By-Improved-Variant ### MITM En general si escuchamos y almacenamos en un PCAP el trafico podemso trabajar sobre el mismo ya que el trafico pasa a trabes de nosotros. Sin embargo emplear tecnicas mas abusivas contra nuestra propia red tambien permitira obtener resultados interesantes. https://github.com/smikims/arpspoof ![imagen](https://hackmd.io/_uploads/S1tQ84uDa.png) https://github.com/frostbits-security/MITM-cheatsheet **Herramientas de MITM para linux no testadas en OPENWRT:** - https://github.com/xdavidhu/mitmAP (! mirar el script para obtener ideas para implementaciones propias, pero es puramente de debian) - https://github.com/xtr4nge/FruityWifi/wiki/Install (Porteable) - https://github.com/byt3bl33d3r/MITMf --> Testing 50% OK - https://github.com/wifiphisher/wifiphisher --> Da problemas de instalacion pero se supone que se puede. - Issue_interesante:https://github.com/wifiphisher/roguehostapd/issues/20 - https://github.com/jakev/mitm-helper-wifi --> Unicamente emplea dnsmasq hostapd iptables python asi que deberia poder funcionar. - https://github.com/maneshthankappan/Multi-Channel-Man-in-the-Middle-Attacks-Against-Protected-Wi-Fi-Networks-By-Improved-Variant ___ https://openwrt.org/docs/guide-user/firewall/misc/tcpdump_wireshark **Herramientas de MITM funcionales en OPENWRT:** mitm6 responder mitmf Podemos aplicar de forma "sencialla" un MITMProxy en nuestro openwrt: https://reedmideke.github.io/networking/2021/01/04/mitmproxy-openwrt.html ### MANA El ataque MANA. Implementacion de puesta en escena aribtaria de puntos de acceso abiertos siguiendo el reconocimientos de clientes. https://github.com/sensepost/hostapd-mana/wiki/Installing#alpine https://forums.hak5.org/topic/39096-mana-attack-for-the-pineapple/ https://github.com/adde88/hostapd-mana https://github.com/sensepost/mana #### MANA WPE: Podemos usar la tecnica camana con los puntos de acceso corporativos (No funciona del todo bien, mejor levantar el punto tal cual) https://tbhaxor.com/evil-twin-wifi-network-using-hostapd-mana/ https://github.com/aircrack-ng/aircrack-ng/tree/master/patches/wpe/hostapd-wpe ## NFC / 125 ## .RADIO. https://play.google.com/store/apps/details?id=marto.androsdr2&hl=es&gl=US #### DISCO RESTAURANTES. Freq. 433.92 ### TETRA. **¿Que es tetra?** https://totapulchra.news/el-sistema-tetra/ https://es.wikipedia.org/wiki/Terrestrial_Trunked_Radio ESCANEA ENTRE 380-430 Y ESCUCHARAS LAS DIFERENTES PORTADORAS. - **TETRA:** 392-392.6 Mhz. - Canales de 25 Khz y espectro aplanado debido al filtro coseno usado. - **TETRAPOL:** 393-396 Mhz. - Canales de 12.5 Khz y espectro acampanado típic del filtro gausiano usado. https://signals.radioscanner.ru/base/signal140/ https://www.boe.es/diario_boe/txt.php?id=BOE-A-2009-3110 https://www.agvradio.com/index.php/12-espanol/servicios/instrumentacion/equipos-rf-explorer/38-rf-explorer-wsub1g-plus-slim https://www.incibe.es/sites/default/files/2023-05/INCIBE-CERT_ESTUDIO_CIBERSEGURIDAD_EN_REDES_TETRA_2023_v1.0.pdf ## BLUETOOTH https://www.tarlogic.com/bsam/ BSAM es una metodología abierta y colaborativa desarrollada para estandarizar la evaluación de seguridad de dispositivos que utilizan tecnología Bluetooth. - **JAM** - https://es.aliexpress.com/w/wholesale-bluetooth-jammer.html - https://greatscottgadgets.com/ubertoothone/ - **Fake APs** - https://bluetooth-pentest.narod.ru/doc/fake_bluetooth_access_point.txt - **Apple Devices** - https://www.mobile-hacker.com/2023/09/07/spoof-ios-devices-with-bluetooth-pairing-messages-using-android/ - https://9to5mac.com/2023/09/05/flipper-zero-spam-iphone-fake-bluetooth/ #### KIOSCK BYPASSING Los enlaces que son un target="_blank" de esos en el enlace <a> y por eso te abre nueva ventana ## MALDUINO Vamos a usar usar el conocido como "Arduino" como emulador de HID que nos permitan realizar los "escapes" del kiosko. https://github.com/jomoza/KioskBypases-Malduino https://github.com/I-Am-Jakoby/PowerShell-for-Hackers #### ANDROID UNLOCKING https://github.com/androidmalware/DigisparkAttiny85-scripts/blob/main/20_most_popular_Android_PINs.ino ## .FLIPPER0 El Flipper Zero es un dispositivo de seguridad y pentesting (pruebas de penetración) diseñado para ayudar a los profesionales de seguridad a evaluar la seguridad de sistemas de radiofrecuencia (RF) y dispositivos inalámbricos. Características y funciones del Flipper Zero: - **Transmisor y receptor de RF:** El Flipper Zero está equipado con un transmisor y receptor de radiofrecuencia que le permite interactuar con dispositivos inalámbricos, como controles remotos, tarjetas RFID y otros sistemas de comunicación por radio. - **Manipulación de señales:** Puede usarse para capturar, decodificar y retransmitir señales de RF, lo que lo convierte en una herramienta valiosa para analizar y manipular comunicaciones inalámbricas. - **Soporte de protocolos:** Es capaz de trabajar con varios protocolos de RF comunes, como 433MHz, 868MHz, 915MHz, NFC, y más, dependiendo de su configuración y las actualizaciones disponibles. - **Pantalla y teclado:** Tiene una pantalla LCD y un teclado numérico, lo que facilita la interacción con el dispositivo y la ejecución de comandos. - **Modo USB Rubber Ducky:** Puede actuar como un dispositivo de ataque tipo "USB Rubber Ducky", que simula ser un teclado y ejecuta comandos preconfigurados en una computadora host cuando se conecta a través de USB. ``` El Flipper Zero es útil en una auditoría de radiofrecuencias para realizar tareas como: - Identificar y analizar señales de RF presentes en un entorno. - Capturar y decodificar señales de dispositivos inalámbricos. - Realizar ataques de repetición para abrir cerraduras o activar sistemas de seguridad. - Probar la seguridad de sistemas de acceso con tarjetas RFID. - Investigar y analizar protocolos de comunicación inalámbrica. - Desarrollar y evaluar contramedidas de seguridad para dispositivos inalámbricos. ``` - F0 BT Apple devs: https://www.bleepingcomputer.com/news/security/flipper-zero-can-be-used-to-launch-ios-bluetooth-spam-attacks/ - https://github.com/djsime1/awesome-flipperzero ### RADIO - https://forum.flipperzero.one/c/sub-ghz/6 ### badusb - https://github.com/I-Am-Jakoby/Flipper-Zero-BadUSB - https://github.com/UNC0V3R3D/Flipper_Zero-BadUsb ### playlists (radio) - https://github.com/darmiel/flipper-playlist - https://github.com/MuddledBox/FlipperZeroSub-GHz - https://github.com/Lucaslhm/Flipper-IRDB ### compilation - https://github.com/magikh0e/FlipperZero_Stuff - https://github.com/UberGuidoZ/Flipper - https://github.com/playmean/fap-list - https://github.com/smkent/f0-apps ## .PINEPHONE ## ANDROID PHONE https://secwiki.org/w/Nmap/Android ## CAR HACKING https://media.licdn.com/dms/image/D4D22AQElaPMHRxFVqQ/feedshare-shrink_2048_1536/0/1704793542365?e=1707955200&v=beta&t=Y4qQFLbpCxJbIODy-QJIbnXokRaxsoxnimzR-u6qsZc ___