Estábamos discutiendo una técnica en otro hilo que probablemente lograría esto. NSTX e ICMPTX aprovechan los agujeros de protocolo comunes que tienen las organizaciones. NSTX es el candidato más probable ya que no es probable que la organización con el portal cautivo impida el acceso al servidor / proxy DNS que está utilizando para resolver el nombre del portal cautivo.
Si puedes emitir una consulta de DNS para resolver tu servidor de nombres, entonces ya estás listo. Esto requiere que usted administre su propia máquina de DNS de manera externa, pero con el costo de EC2, lo que sí hace es calcular que está perdiendo 20 dólares al mes para realizar esta tarea.
NSTX utiliza esencialmente el mecanismo de consulta de DNS como un canal de datos. Los pentesters han estado usando esta técnica por un tiempo, y la idea no es nueva (las botnets incluso han usado la resolución C-Name de DYNDNS para crear estructuras de C & C pasivas). Es un mundo sucio, pero los administradores de DNS han hecho un gran trabajo de creación. Una red de la sombra para pasar su tráfico alrededor.
Una referencia rápida: enlace
Good ol 'Howto: enlace