Packet Squirrel (Teil 2) vorninstallierte Payloads

Im ersten Teil der Artikelserie habe ich gezeigt, wie man den Packet Squirrel in Betrieb nimmt, ein Firmware Upgrade durchführt und eine erste Verbindung mittels ssh herstellt. In diesem Beitrag wird gezeigt, wie man zwei der vorinstallierten Payloads konfiguriert und einsetzt.

Die verschieden Payloads sind über folgende Switch-Positionen erreichbar:

Vorinstallierte Payloads

 

Payload 1: TCPDump

  1. Stecken Sie einen NTFS oder EXT4 formatierten USB-Stick in den USB-Port auf der rechten Seite des Packet Squirrels.
  2. Stellen Sie den Multischalter auf die Position 1 (das ist die Position ganz links, am nächsten zum Micro-USB-Stromanschluss).
  3. Stecken Sie das das Netzwerkkabel zum Gerät, von dem Sie Pakete erfassen möchten, in die Ethernet-In Schnittstelle. Es ist der Ethernet-Port auf der linken Seite neben dem Micro-USB-Stromanschluss. Dies kann ein Computer, ein Netzwerkdrucker, eine IP-Kamera oder ähnliches sein.
  4. Schließen Sie ein weiteres Netzwerkkabel an den Ethernet Out-Anschluss an. Er befindet sich auf der rechten Seite neben dem USB Typ A Anschluss. Das andere Ende des Netzwerkkabels wird mit dem Netzwerk verbunden.
  5. Verbinden Sie den Packet Squirrel mit einer Stromquelle. Das kann ein gewöhnliches USB-Netzteil, ein Smartphone-Ladegerät oder ein USB-Powerpack sein.
  6. Warten Sie ca. 40 Sekunden, während der Packet Squirrel hochfährt, was durch eine blinkende grüne LED angezeigt wird. Sollte zu diesem Zeitpunkt die LED-Anzeige rot blinken, so besteht höchstwahrscheinlich ein Problem mit dem USB-Laufwerk. Prüfen Sie in diesem Fall, ob es richtig angeschlossen bzw. formatiert ist. Danach beginnt tcpdump alle Daten zwischen den beiden Ethernet-Schnittstellen aufzuzeichnen. Dieser Status wird durch ein blickendes gelbes LED angezeigt. Dabei werden alle Daten als Pcap-Datei auf den USB-Stick oder der angeschlossenen USB-Festplatte geschrieben.
  7. Wenn Sie die Aufzeichnung der Daten beenden wollen, dann drücken Sie die Taste auf der Rückseite des Packet Squirrels. Warten Sie bis die LED rot blinkt. Jetzt hat das Gerät die Aufzeichnung der Daten beendet. Nun kann der Packet Squirrel vom Strom getrennt und das USB-Laufwerk entfernt werden. Die Pcap-Dateien können danach z.B. mittels Wireshark eingesehen werden.
  8. Wenn Sie die Aufzeichnung nicht abbrechen, dann schreibt tcpdump die Daten solange auf den externen Datenträger bis er voll ist. Dieser Zustand wir dann mit einer leuchtenden grünen LED angezeigt.

Achtung: Trennen Sie den Packet Squirrel vom Strom ohne zuvor die Taste auf der Rückseite zu drücken, könnte das die Pcap-Datei beschädigen bzw. unlesbar machen.

Ein möglicher Versuchsaufbau könnte so aussehen:

 

Payload 2: DNS-Spoofing

Der an der Switch-Position 2 verfügbare Payload erlaubt es, alle DNS-Anfragen zwischen Zielobjekt und dem Netzwerk abzufangen und dafür gefälschte Antworten weiterzuleiten. Standardmäßig ist der Payload so konfiguriert, dass alle Anfragen mit der IP-Adresse des Packet Squirrel beantwortet werden.

Sie können die Konfiguration auf Ihre Bedingungen anpassen. Dazu schalten sie den Packet Squirrel zunächst in den „Arming Mode“ (ganz rechte Position) und stellen eine Verbindung mittels ssh her (siehe auch hier).

Nun wechseln Sie ins Verzeichnis /root/payloads/switch2 und passen die Datei spoofhost entsprechend an. Möchten Sie z.B. alle Anfragen eines Clients auf eine bestimmte IP-Adresse umleiten, so tragen Sie hier folgendes ein:

address=/#/194.117.254.46
									

Sollen nur bestimmte Anfragen umgeleitet werden, so tragen sie diese Umleitungen nach folgendem Muster ein:

address=/pentestit.de/193.110.252.46
address=/otto.de/216.58.205.227

									

Trennen Sie nun den Packet Squirrel vom Strom und stellen den Schalter auf Position 2. Danach verbinden sie das Gerät mit den Netzwerkkabeln nach folgendem Muster:

Sobald das Gerät wieder mit Strom versorgt ist, fährt es hoch und zeigt die Betriebsbereitschaft mit einem blinkenden weißen LED an. Dabei weist es dem Client eine IP-Adresse per DHCP zu und leitet alle Anfragen in das angeschlossene Netzwerk weiter.

Sie können das erfolgreiche Umleiten der DNS-Abfragen auf dem Zielsystem z.B. mit dem Befehl nslookup testen.

Schreibe einen Kommentar