Este es mi primer tutorial e intentare exponeros una guia bí¡sica sobre la utilizaciín de ettercap. Este programa que nos permite sniffar el trafico de red y obtener asi las contraseíñas escritas por otros usuarios de nuestra red, ademí¡s tambiín permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajeria instantí¡nea.
1- Primero tenemos que descargar el ettercap:
apt-get install ettercap-gtk
2- Lo instalamos. Si tienes la versiín para compilar de linux:
./configure
make
make install
A partir de ahora lo interesante:
3- Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitira seleccionar la interfaz de red a utilizar).
(http://i34.tinypic.com/vpaz3c.png)
4- Pestaíña Sniff>Unified Sniffing
5- Seleccionamos la interfaz que esta conectada a la red que queremos sniffar, despues le damos a "Aceptar".
6- Pestaíña Host>Scan for hosts.
En la parte de abajo de la pantalla aparecera algo como " X hosts added to the hosts list..." (X sera un numero correspondiente al numero de maquinas conectadas a la red).
(http://i34.tinypic.com/rhljqh.png)
7- Pestaíña Host>Host list. Ahora apareceran las IPs de las maquinas conectadas, hay que tener en cuenta que el router tambiín aparece (No aparece nuestro PC).
8- Seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", despuís el router "Add to Target 2".
(http://i37.tinypic.com/2znybt1.png)
Con esto estaremos snifando el trafico de red.
11- Pestaíña View>Connections. Aqui podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseíñas, etc.
Ahora es cuestiín de paciencia.
Bueno un saludo a todos y espero que os sirva. Sonreir
Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una tícnica llamada Man In The Middle (MITM) y lo que haremos sera que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra víctima se quedara sin conexiín por un tiempo, mientras se reinician las tablas arp.
9- Pestaíña Mitm>ARP Poisoning. Ahora marcamos la pestaíña "Sniff remote connections" y pulsamos "Aceptar".
(http://i34.tinypic.com/o0qvbm.png)
10- Pestaíña Start>Start sniffing.
(http://i37.tinypic.com/kccysn.png)
Con esto estaremos snifando el trafico de red.
11- Pestaíña View>Connections. Aqui podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseíñas, etc.
Ahora es cuestiín de paciencia.
no puedo hacer el "Add to Target 1 ni el Add to Target 2"
Incorrect number of token (//) in TARGET
You are not allowed to view links.
Register or Login
no puedo hacer el "Add to Target 1 ni el Add to Target 2"
Incorrect number of token (//) in TARGET
host -> host list
host -> host list si lo veo pero no es posible
hacer "Add to Target 1 ni el Add to Target 2" >:(
You are not allowed to view links.
Register or Login
host -> host list si lo veo pero no es posible
hacer "Add to Target 1 ni el Add to Target 2" >:(
es raro muy raro, ami me pasa que no me toma el router, me toma la vic pero no el router... hay otro wireshark pero es mas quilombo.
http://www.multiupload.com/LT1QVCBUOF (http://www.multiupload.com/LT1QVCBUOF)
ah muy bueno, ahora pude poner el target 1 y target 2
pero el problema es que esnifa bien pero no me muestra los resultados
Live connections:
â", 192.168.1.104:37327 - 146.82.193.90:80 T idle TX: 601
â", 192.168.1.104:50660 - 146.82.193.90:80 T closing TX: 2574
â", 192.168.1.104:34395 - 69.63.181.47:443 T idle TX: 479
â", 192.168.1.104:48245 - 69.63.181.105:5222 T closing TX: 279
â", 192.168.1.104:33886 - 66.220.146.54:80 T closed TX: 865
â", 192.168.1.104:55001 - 146.82.193.90:80 T closed TX: 2672
â", 192.168.1.104:33789 - 146.82.193.90:80 T closed TX: 4846
â", 192.168.1.104:36033 - 146.82.193.90:80 T closed TX: 3306
â", 192.168.1.104:42756 - 146.82.193.90:80 T closed TX: 5956
User messages:
se queda en
â", GROUP 1 : 192.168.1.104 A4:ED:4E:FC:13:88
â",
â", GROUP 2 : 192.168.1.1 00:E0:4C:00:00:02
â",Starting Unified sniffing... y no da resultados :o
;) bien, ahi ya solo hay que esperar.... ??? ??? ??? ??? ???
http://www.youtube.com/v/EUViqcGQntc
la cuestion es tambien el sistema que vamos a atacar y que tiene que nos moleste (antivirus, antispy, firewall, etc).
puede tener problemas el resultado del snifado si las victimas usan custom DNS o proxy?
http://tinypic.com/r/iqxxep/7un custom DNS
veo mucho trafico pero en el apartado "User messages" esta vacio :-[
habilitaste el SSL en el archivo etter.conf?
para habilitar el SSL hay q modificar en el archivo etter.conf esta linea:
#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"</p>
y cambiarla por la de abajo?
Cídigo:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
no veo exactamente asi la linea. ademas uso macintosh y creo que la modificacion que me pasaste es de linux
si exactamente la q te pase es la de linux!! yo tambien uso mac pero emulo el ubuntu, me resulta un poco mas facil para mi!!
esta lines te aparecen:
# Mac Os X
#---------------
# quick and dirty way:
#redir_command_on = "ipfw add fwd 127.0.0.1,%rport tcp from any to any %port in via %iface"
#redir_command_off = "ipfw -q flush"
# a better solution is to use a script that keeps track of the rules interted
# and then deletes them on exit:
# redir_command_on:
# ----- cut here -------
# #!/bin/sh
# if [ -a "/tmp/osx_ipfw_rules" ]; then
# ipfw -q add `head -n 1 osx_ipfw_rules` fwd 127.0.0.1,$1 tcp from any to any $2 in via $3
# else
# ipfw add fwd 127.0.0.1,$1 tcp from any to any $2 in via $3 | cut -d " " -f 1 >> /tmp/osx_ipfw_rules
# fi
# ----- cut here -------
# redir_command_off:
# ----- cut here -------
# #!/bin/sh
# if [ -a "/tmp/osx_ipfw_rules" ]; then
# ipfw -q delete `head -n 1 /tmp/osx_ipfw_rules`
# rm -f /tmp/osx_ipfw_rules
# fi
# ----- cut here -------
seguro sera algo de ahi creo q yo!! seguramente D3M0N sepa!
ya cambie la linea de linux como dijiste pero no paso nada
sigo ciego... a ver si D3M0N sabe que m13rD@ hay que cambiar en OSX :-X
gracias igual
sudo nano /opt/local/etc/etter.conf
The following lines, which are at the top of the file, need to be modified. Replace 65534 with 0.
ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default
Then search for the next lines by hitting ctrl-w, typing “redirect_command†and scrolling down a little till you see the Mac OSX section. Right now we are just going to use the “quick and dirty way†but you can also create those scripts yourself and use them too.
All this means it uncommenting the two lines by removing the # at the start.
#---------------
# Mac Os X
#---------------
# quick and dirty way:
redir_command_on = "ipfw add fwd 127.0.0.1,%rport tcp from any to any %port in via %iface"
redir_command_off = "ipfw -q flush"
Now hit ctrl-O to save and ctrl-X to exit nano.
Si mira, estas paginas como gmail y hotmail tiene proteccion https... Ettercap es capaz de falsificar certificados https. Para que puedas leer el trafico necesitas modificar el archivo etter.conf y busca la parte de redireccionamiento.
La otra opcion para poder leer https es utilizar la aplicacion sslstrip. http://blog.thetoast.net/2009/05/ssl-strip-on-mac-os-x.html (http://blog.thetoast.net/2009/05/ssl-strip-on-mac-os-x.html)
aca tengo un videito: http://casidiablo.net/videotutoriales/ettercap.htm?keepThis=true&TB_iframe=true&height=635&width=800 (http://casidiablo.net/videotutoriales/ettercap.htm?keepThis=true&TB_iframe=true&height=635&width=800)
puedo leer conversaciones de MSN en tiempo real.
lo de extraer usuarios y pass de gmail etc. etc. seguro aparecera en la ventana User messages ?
el tema es que tambien instale el openssl creyendo que es la forma correcta :P vaya saber...
aca va un comando que resume lo del tuto
sudo ettercap -Tq -ien2 -M ARP //
ATENCION: ien2 (es la placa de red usada, hay que editar)
You are not allowed to view links.
Register or Login
sudo nano /opt/local/etc/etter.conf
The following lines, which are at the top of the file, need to be modified. Replace 65534 with 0.
ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default
Then search for the next lines by hitting ctrl-w, typing “redirect_command†and scrolling down a little till you see the Mac OSX section. Right now we are just going to use the “quick and dirty way†but you can also create those scripts yourself and use them too.
All this means it uncommenting the two lines by removing the # at the start.
#---------------
# Mac Os X
#---------------
# quick and dirty way:
redir_command_on = "ipfw add fwd 127.0.0.1,%rport tcp from any to any %port in via %iface"
redir_command_off = "ipfw -q flush"
Now hit ctrl-O to save and ctrl-X to exit nano.
la de "Now hit ctrl-O to save and ctrl-X to exit nano." ponele un # ya que es un comentario.
se pueden leer conversaciones en msn en vivo con el cain and abel? el sniffer de windows ?
You are not allowed to view links.
Register or Login
para habilitar el SSL hay q modificar en el archivo etter.conf esta linea:
#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"</p>
y cambiarla por la de abajo?
Cídigo:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
hola estuve jugando con esto en mi propia red y capture bien mis credenciales pero con las pag del tipo ssl probe activarlo cambiando el codigo en etter.config y no tuve exito ya no funca esa modificacion?? osea para capturar credenciales de facebook hotmail etc...