mercredi 3 décembre 2008

Sécurité par obfuscation.

Toujours en mission loin de ma contrée, je réside encore à l'hôtel. Et les soirées sont longues et froides en cette saison... Ce joli petit hôtel possède du WiFi... Non sécurisé, certes mais qui nécessite un login/mdp pour naviguer sur le Web. Regardons ça de plus près...

Déjà on m'annonce au début du séjour que le mdp de connexion change tous les jours. Et on me donne un papier avec marqué dessus : client / Edf45sEr. Voici donc le login/mdp. Brute-force ? Non c'est moyen bof bof. Cherchons moins long.

Alors connectons-nous à ce Wifi. Tentative de connexion à mon ami Google... Un bel écran de connexion apparaît :

Et dans l'url, une floppée de paramètres :
https://192.168.2.1/cgi-bin/hotspotlogin.cgi?res=notyet&uamip=192.168.2.1&uamport=3990&challenge=3c1d263bd4ac9a9dcaaf25e62d416650&userurl=&nasid=etap&mac=00-AA-DE-8B-78-A4

On y voit adresse MAC, un port et d'autres infos. Bon et qu'est qui se cache à la racine du site ?
Aahhh zut, je n'arrive pas à me connecter au localhost ... :) Et bien remplaçons-le pas l'adresse IP ... ;)


Et ben tiens, sur quoi je tombe ... La console d'administration des utilisateurs. Avec le couple login/mdp pour le compte "client".


Et si on regardait la liste des autres utilisateurs... Ah ben y'a un compte admin ... Bravo le veau ! :)


Donc le login et mdp de connexion peuvent être trouvé dès que l'on est connecté au réseau WiFi. Pas glop :( lol

Conclusion :
La sécurité par obfuscation à ces limites et c'est très très limite comme stratégie de sécurité... Vous cachez encore vos clefs sous le pot de fleur de l'entrée vous ? Et ben là c'est pareil...

En grattant un peu plus, on s'aperçoit que c'est un apache qui fait tourner le service... il aurait été très judicieux de séparer la partie authentification client de la partie administration et d'en restreindre l'accès avec un paramètre du genre "Allow from localhost". En espérant qu'un écran soit branché ... :)

2 commentaires:

  1. Bonjour. Comment fait on pour accéder à la racine du site. Que doit-on taper dans l'URL? j'arrive sur une page login / mdp de ce type:
    https://hotspot.neuf.fr/indexEncryptingChilli.php?res=notyet&uamip=192.168.2.1&uamport=3990&challenge=3e897e0hSudnd71722401738269a8e&userurl=http%3a%2f%2fwww.google.fr%2f&nasid=00-17-33-a8-a2-8b&mac=00-22-33-E3-92-90&mode=3&channel=0

    Comment acceder a la root de cette page?

    Merci

    RépondreSupprimer
  2. Et bien je ne sais pas... Faut chercher un petit peu... je ne suis pas le dieu du "HotSpot Hacking" lol

    De plus je ne pense pas que le contournement de l'authentification soit aussi simple qu'aller à la racine. Mais bon au vu de l'URL tu peux éventuellement essayer de jouer avec l'adresse MAC. Mais pas sûr que cela suffise. Peut être il y a-t-il un poil de session là dessous.

    A creuser. Bon courage et que la force soit avec toi ;)

    RépondreSupprimer