Tråd bedømmelse:
  • 2 Stemmer - 4 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Mitm attacks | Ettercap, samt lidt spas programmer.
03-07-2013, 12:02 (Denne besked var sidst ændret: 16-07-2013, 21:22 af sabu.)
#1
Mitm attacks | Ettercap, samt lidt spas programmer.
.

[Billede: Deep_Blue_Console.png]


Indholdsfortegnelse
1. Ettercap
2. Driftnet, Webspy og Urlsnarf
3. Arpspoofer i c++
4. Mere

Har du ikke læst min begynder guide, så kig her:
https://www.shellsec.pw/showthread.php?tid=558
Jeg vil gå relativt hurtigt igennem det hele, og det vil ikke være så meget forklaring. Kig i mit første tut. Eller Iticks kommentar.


Ettercap

[Billede: ettercap.jpg]

Ettercap er et mere dynamisk program end cain. Desuden er ettercap udviklet til linux, som ikke har samme drivere osv. som windows. Det giver adgang til langt mere spas.

Du kan få ettercap til windows xp, men uden samme funktioner osv. Derfor bruger vi en linux distribution til dette tut. De fleste af jer bruger nok backtrack hvor ettercap er installeret i forvejen, men til dem der ikke gør:

Åben en terminal og skriv:
Kode:
sudo apt-get install ettercap-gtk

Du skulle nu gerne have installeret ettercap. Skriv clear i terminalen for at fjerne alt teksten.

Vi skal nu have startet ettercap. Ettercap kan både bruges med gtk ( interface ) og command line. Det er langt hurtigere og nemmere for mig at lære jer det uden et interface, derfor bruger vi kun command line. Hvis du alligevel har lyst til at kigge på ettercap med en gui, skriver du:
Kode:
Ettercap -G
Ettercap skulle derefter starte med Gui.

Vi bruger dog cli (command line interface). Det betyder jeg kan slippe for at skulle forklare en grafisk brugerflade for jer, som jeg skulle med cain. Desuden vil i hurtigt lære det er langt hurtigere for jer.

Vi starter med at skrive:
ettercap -Tqm arp:remote // //
(du kunne også have skrevet -t -q -m)

Og her er så forklaringen.

-T Tekst interface, altså ikke et grafisk som -G
-q quiet
-m Mode arp spoofing.
Og til sidst /. Du kan dog sætte target ip'er ind, hvis du ikke ønsker at sniffe alt.

Driftnet, Webspy og Urlsnarf

Vi har nu fat i alt data der sendes, men at analysere det ville være et helvede.
Derfor er vi glade for tre smarte programmer.

Driftnet startes ved at skrive driftnet -i <interface>. Det viser alle billeder.
(Find dit interface ved at skrive ifconfig)

Webspy viser sider der bliver åbnet i real time.
Åben din browser. Skriv webspy -i <interface> <victim>

urlsnarf -i <interface>. I er ved at fange den ikke...

http://www.monkey.org/~dugsong/dsniff/ <-- mere gejl.

Arpspoofer i c++
https://code.google.com/p/libcrafter/wiki/ARPPoison

Mere
Kig på itick. Gad ikke lave mere på den.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-07-2013, 12:12
#2
RE: Mitm attacks | Ettercap, samt lidt spas programmer.
Ah. Im not fast enough. Jeg har en guide liggende:

Wired MITM: Eavesdropping.


Mål: At sniffe traffiken mellem maskine A og dennes gateway, så vi kan se trafikken til Internettet.
Dette eksempel er udført på en Linux box. F.eks. Kali Linux eller Backtrack.


Info:
Maskine A - Klient: 10.0.0.2/24
Maskine B - Gateway: 10.0.0.1/24


ARP:
Når to maskiner i samme subnet, vil tale sammen, sker dette på MAC adressen.
Når disse to maskiner skal kommunikere, er de derfor nød til at kende hinandens MAC adresser.
Dette opnår de således:

Maskine A vil gerne snakke med maskine B.
Ud fra sin egen IP adresse, netmaske og destination ip adressen, kan maskine A se, at den er i samme subnet som maskine B. (I dette tilfælde)

1. Maskine A sender en broadcast til alle hosts i subnettet: "Jeg vil gerne tale med 10.0.0.1 (B), hvilken MAC adresse har du?"
2. Maskine B modtager denne broadcast og svarer med en unicast direkte til maskine A: "Det er mig, jeg har 1234.5678.9ABC."
3. Maskine A modtager MAC adressen fra maskine B og gemmer denne i sin ARP tabel.


BUG:
Det forunderlige ved ARP er, at hvis man sender et "ARP svar" (punkt 2) til en maskine, som slet ikke har bedt om dette (punkt 1),
vil maskinen stadig registrere MAC adressen og gemme denne i sin arp tabel.

Det vi så gør, er at fortælle maskine A, at hvis der skal kommunikeres med maskine B, skal dette ske til hackerens MAC adresse.
Da hackerens arp tabel ikke er forurenet, og vi tillader forwarding, vil hackerens maskine derefter sende pakken videre til den oprindelige modtager, maskine B.
Det samme ser til maskine B. Vi fortæller maskine B at alt traffik til maskine A, skal ske til hackerens MAC adresse.
Denne traffik vil også blive videresendt til maskine A.

Først tillader vi ip forwarding for IPv4:
echo 1 > /proc/sys/net/ipv4/ip_forward
Dette gøres som det første, da klienten ellers vil tabe pakker unødigt. De vil blive sendt til hackerens maskine, men aldrig blive videresendt.

IPv6 kan gøres som følger, men er ikke i dette eksempel, nødvendigt.
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding


Steps:
Vi bruger arpspoof værktøjet som vist her under. -t er "target" for vores ARP spoof.
Åbn et terminal vindue og skriv nedenstående:
"arpspoof -i eth0 -t 10.0.0.2 10.0.0.1"
Vi fortæller arpspoof at vi vil bruge Interface eth0 og at modtageren af vores arp spoof er 10.0.0.2 (A)
og det er traffiken til 10.0.0.1 (B) som skal videresendes til hackeren.
arpspoof vil så kontinuerligt sende et ARP reply til maskine B og fortælle at MAC adressen på maskine A har samme MAC adresse som hackerens maskine.

Det samme sker så, bare visa versa, med maskine B.
Åbn et terminal vindue og skriv følgende:
"arpspoof -i eth0 -t 10.0.0.1 10.0.0.2"

De to ARP spoof kommandoer skal eksekveres så hurtigt efter hinanden som muligt, da nogle pakker sikkert vil gå tabt.
Gør dem evt. klar i prompten, så der kun skal trykkes enter. Så kan de sendes afsted hurtigt efter hinanden.
Nu vi al traffik mellem maskine A og maskine B løbe gennem hackerens maskine.

Efterfølgende:
Hvis du vil se hvilke billeder der bliver sendt mellem maskine A og maskine B, kan du åbne et nyt terminal vindue og prøve:
"driftnet -i eth0"

Hvis en URL er mere interessant, kan du prøve følgende:
"urlsnarf -i eth0"

Vil du se det hele, kan du starte en Wireshark session på eth0, og se hvad du ellers kan finde.

Når du er færdig med at snoope, kan du afbryde de to arpspoof sessioner med CTRL^C og slå forwarding fra med:
"echo 0 > /proc/sys/net/ipv4/ip_forward"


Mere:
Når du afbryder de to arpspoof sessioner med CTRL^C, vil arpspoof rette op på de spoofede MAC adresser på maskine A og maskine B.
Klienten vil måske mærke en kort afbrydelse, men forhåbentlig ikke noget som tænder nogen alarmklokker.
Hvis klienten er i gang med store downloads eller lign. vil MITM sænke hastigheden på disse og muligvis afbryde disse.
Bemærk at IPv6 ikke bruger ARP requests til at udveksle MAC adresser med. Derimod ICMPv6 pakker.
En bedre ting måske at gøre, er at bruge et automatiseret tool, som klarer det hele selv. Det er bare godt at vide, hvad der egentlig sker bagved.

Tools:
arpspoof - http://arpspoof.sourceforge.net/
driftnet - http://linux.die.net/man/1/driftnet
urlsnarf - http://www.irongeek.com/i.php?page=backt...n/urlsnarf
wireshark - http://www.wireshark.org/
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-07-2013, 12:36 (Denne besked var sidst ændret: 03-07-2013, 12:36 af sabu.)
#3
RE: Mitm attacks | Ettercap, samt lidt spas programmer.
Og en god ide er at bruge cut til urlsnarf osv. hvis man ikke gider have alt det lort med..........(:..
Find alle beskeder fra denne bruger
Citer denne besked i et svar
16-07-2013, 21:23
#4
RE: Mitm attacks | Ettercap, samt lidt spas programmer.
Så er den. "complete". det jeg gider.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
16-07-2013, 23:36
#5
RE: Mitm attacks | Ettercap, samt lidt spas programmer.
Godt lavet begge to!!! Det er super godt forklaret, og har set en film tut om noget af det samme men den her er ligeså god hvis ikke bedere!
There is 3 rules for a life.
1. fuck.
2. Dont give a fuck.
3. Dont be fucked over
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)