15 marzo 2013

Sobre Wifi, robar y los portales cautivos

Estaba yo tranquilamente leyendo el correo y twitter cuando me di cuenta que era mejor usar mi portátil con la red wireless del hotel que en aquellos días ocupaba que el 3G de mi teléfono.

Dicho y hecho. Arranqué mi flamante Lenovo (que representa el concepto contrario a un MacBook gaAyr de esos) y me conecté al punto de acceso "swisscom", donde La Red llena de información y noticias esperaba ser digerida.

Nada más abrir el navegador un portal cautivo pedía que me autenticase para poder continuar.

Portal cautivo de un coNocido Hotel.
¡Coño! 10€ 24 horas de Internet. Ni que los bytes que iban a salir de mi adaptador wireless fueran a ser transmitidos mediante SMS a Japón.

En ese momento, el más profundo de los tacaños que llevo dentro apareció. Lastima de no tener  montado un túnel DNS que iba a pagar Rita.

Poco después me di cuenta de que soy español. Lo de robar lo llevamos en el ADN (ser pillos nos decimos a nosotros mismos para que suene menos mal) y solo hay que darle una vuelta para encontrar  la manera. ¡Qué pregunte en la Moncloa el que tengas dudas!

Así que revisé la página web una vez más agarrando la billetera para que de allí no saliese ni una moneda.

¡Anda! ¿realmente pide el número de habitación y un apellido? No me lo creía. La autenticación (y posterior cobro) se hacia contra una habitación y para ello... ¿tan solo hacía falta saber como se apellida la persona que la ocupaba? Mola.
Pago mediante cargo a habitación
Si pudiera saber que habitaciones están ocupadas, tan solo tendría que probar los apellidos más comunes. Y a decir verdad, averiguar  la ocupación tampoco era muy complicado.

"Intuir" habitaciones ocupadas
Era demasiado obvio. Esto no podía ser tan sencillo. Seguro que había una protección que lo evitaría. ¡¡Seguro!!

Necesitaba un diccionario de apellidos y recordaba el de Facebook. Pero aquello era demasiado extenso. ¡¡INE (Instituto Nacional de Estadística) al rescaaateee!!! en una magnífica hoja de calculo venía bien claro. 

Lista de apellidos españoles
Mierda. Este también eran más de 75.000 opciones. Esto iba a ser un canteo.

Hmmm ¡¡idea!! Ya que el nombre de usuario también es predecible, ¿por qué no probar con GARCIA las ¿400? posibles habitaciones?

Cuando iba a ponerme a escribir el primer "curl" en la ventana del cygwin para automatizar las peticiones y comprobar si el fallo existía, recordé la fabulosa entrada de Intruder con Burp de Bea. 

Configuré la herramienta especificando el payload desde el 100 hasta el 600 y arranqué el ataque.

Resultados de Burp - Intruder
¡¡Qué me estas container!! Tan solo hicieron falta 18 peticiones para encontrar una habitación con un GARCIA. Ya tenía unas credenciales de acceso.

Esta victoria era amarga, no es lo mismo birlarle la conexión al hotel que a un pobre huesped como yo, así que al final, tras hacer las capturas, acabé pagando los 10 euritos y usando mi propio acceso. Pero oye... era gracioso. ¿Qué el nombre de usuario no debería ser público? ¡JA

13 comments :

Capde dijo...

Y luego dicen que los catalanes somos tacaños !!!bueno igual si..... yo hubiera tirado de 3G hasta dejar-lo seco antes que pagar eso 10 eurazos!!


Por cierto, creo que se te ha colado la referencia de tunnel DNS a otro articulo!

Nemigo Galiza dijo...

deberia darte vergüenza, eso es como no querer pagar las chuches (a precio de champán) para robarselas al niño del parque

Alejandro Ramos dijo...

Creo que no te has leido todo el artículo. Realmente la vergüenza que tengo es la clase de trolls que tenemos.



Su tabaco. Gracias.

AntiSandbox dijo...

Pues yo no veo mal que te hayas buscado la vida para no pagar los 10 euros, es un precio que por una hora es abusivo, que al final lo has pagado oye pues cada uno hace lo que quiere. Lo malo sería lucrarse con esas credenciales y no lo hicistes... me ha gustado este post ;)

Kroket dijo...

Pues yo me apellido Garcia y no le veo la gracia.

...

...

...

Jajaja

Alejandro Ramos dijo...

jajajaja, muy buena

BruTTus dijo...

ajaajaj dios mio. Antes que nada (si no lo hice unas mil veces antes) les agradezco mucho por la info. que nos dan.

Leo este blog desde que curse el CEH, hace casi un año. La verdad no creo haberme convertido en una bestia de la seguridad pero al menos me desasne lo suficiente como para sentirme capaz de entender que pasa en el mundo de las redes (soy mas del palo de las redes y no tanto de la programación), en fin.

Alejando: Te quería consultar lo siguiente, recientemente cambie de ISP y resulta que a comodato me entregaron un TP Link W740N, al que (a mi sorpresa) remotamente le instalan o le pasan una configuración que hace compatible al equipo con su configuracion de red, con algún sistema de administración que me permite a mi/ellos configurarlo desde una web publica (internet, previamente logueandome con un usuario que me brindaron). La realidad es que cuando me di cuenta de eso me pareció una verdadera porquería ya que ni siquiera puedo cambiar el rango de red que utilizo y a la vez no tengo la opción de utilizar WDS en mi propio hogar, por lo tanto me queda mi router perdonal al divino botón o sea...sin uso, ya que no lo puedo asociar a este.

Finalmente mi pregunta es ¿de que forma logro entrar al router? porque por browser a la IP de mi gateway solo responde al ping pero nada de administrarlo desde ahí y desde la WAN no se me ocurre como acceder, a no ser que sea por SNMP, pero no tengo ni idea de como intentar de ganarme el acceso (si es que realmente existiera).

Perdón por desvirtuar tu post pero no sabia a donde escribirles.

Saludos y una vez mas gracias.

ok dijo...

Mac Book GAyr o.0

△cas. dijo...

El precio es por 24 h.

Car dijo...

Buen articulo Alejandro y buen final para el mismo. Desde luego que no es lo mismo robar al banco que al pobrecito que tiene ahi sus ahorros. Por otro lado yo entiendo que la finalidad de este es que nos demos cuenta (los hoteles por ejemplo) que la seguridad de acceso es de risa y que con un poco de ingenio y conocimiento puedes saltarte perfectamente las mínimas normas de seguridad que imponen, en fin eso es lo que saco yo de este articulo, saludos.

Newlog dijo...

Joder, en cada post hay algún troll y además, algún troll haciendo un fail. Me encanta...

manolokie dijo...

Estoy harto de la wifi de pago en los hoteles, apartahoteles y demás...
Este verano estando en Benalmadena, estuvimos en un apartahotel y como no la wifi era de pago, como a 10€ el día (OMG).
Pero tenia una opción interesante: Pruebalo gratis durante 5min!


Y yo me pregunté, ¿como controlan esto? La única manera que conozco es a través de la dirección mac de la tarjeta wifi...


Al final me monte un pequeño script que me cambiaba la mac y que cargaba la URL del botón "Pruebalo gratis durante 5min" y que activaba el tiempo gratuito.


Si gaste el tiempo gratuito de algún otro inquilino lo siento, pero es muy dificil que diera con alguna mac de otro inquilino.


Un saludo.

caminscurri dijo...

Pues oye, lo mismo si lo haces y el señor García dice que él no tiene ni ordenador ni ná y que no está dispuesto a pagar los 10€, en el hotel empiezan a hacer las cosas de otra forma, no? creo que soy una ilusa XD