ettercap [manual basico]

Publicado por D3M0N, 26 de Marzo de 2011, 05:07:16 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

D3M0N

Este es mi primer tutorial e intentare exponeros una guia bí¡sica sobre la utilizaciín de ettercap. Este programa que nos permite sniffar el trafico de red y obtener  asi las  contraseíñas escritas por otros usuarios de nuestra red, ademí¡s tambiín permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajeria instantí¡nea.

1- Primero tenemos que descargar el ettercap:

Código: php
apt-get install ettercap-gtk


2- Lo instalamos. Si tienes la versiín para compilar de linux:

Código: php
./configure
make
make install


A partir de ahora lo interesante:

3- Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitira seleccionar la interfaz de red a utilizar).


4- Pestaíña Sniff>Unified Sniffing

5- Seleccionamos la interfaz que esta conectada a la red que queremos sniffar, despues le damos a "Aceptar".

6- Pestaíña Host>Scan for hosts.
En la parte de abajo de la pantalla aparecera algo como " X hosts added to the hosts list..." (X sera un numero correspondiente al numero de maquinas conectadas a la red).


7- Pestaíña Host>Host list. Ahora apareceran las IPs de las maquinas conectadas, hay que tener en cuenta que el router tambiín aparece (No aparece nuestro PC).

8- Seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", despuís el router "Add to Target 2".


Con esto estaremos snifando el trafico de red.

11- Pestaíña  View>Connections. Aqui podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseíñas, etc.

Ahora es cuestiín de paciencia.

Bueno un saludo a todos y espero que os sirva. Sonreir

Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una tícnica llamada Man In The Middle (MITM) y lo que haremos sera que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra ví­ctima se quedara sin conexiín por un tiempo, mientras se reinician las tablas arp.

9- Pestaíña Mitm>ARP Poisoning. Ahora marcamos la pestaíña "Sniff remote connections" y pulsamos "Aceptar".


10- Pestaíña Start>Start sniffing.


Con esto estaremos snifando el trafico de red.

11- Pestaíña  View>Connections. Aqui podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseíñas, etc.

Ahora es cuestiín de paciencia.

diego10

#1
no puedo hacer el "Add to Target 1 ni el Add to Target 2"

Incorrect number of token (//) in TARGET

D3M0N

You are not allowed to view links. Register or Login
no puedo hacer el "Add to Target 1 ni el Add to Target 2"

Incorrect number of token (//) in TARGET

host -> host list

diego10

host -> host list si lo veo pero no es posible
hacer "Add to Target 1 ni el Add to Target 2"  >:(

D3M0N

You are not allowed to view links. Register or Login
host -> host list si lo veo pero no es posible
hacer "Add to Target 1 ni el Add to Target 2"  >:(

es raro muy raro, ami me pasa que no me toma el router, me toma la vic pero no el router... hay otro wireshark pero es mas quilombo.

D3M0N

You are not allowed to view links. Register or Login

diego10

ah muy bueno, ahora pude poner el target 1 y target 2
pero el problema es que esnifa bien pero no me muestra los resultados

Live connections:

â",     192.168.1.104:37327 -   146.82.193.90:80    T idle    TX: 601         
â",     192.168.1.104:50660 -   146.82.193.90:80    T closing TX: 2574         
â",     192.168.1.104:34395 -    69.63.181.47:443   T idle    TX: 479         
â",     192.168.1.104:48245 -   69.63.181.105:5222  T closing TX: 279         
â",     192.168.1.104:33886 -   66.220.146.54:80    T closed  TX: 865         
â",     192.168.1.104:55001 -   146.82.193.90:80    T closed  TX: 2672         
â",     192.168.1.104:33789 -   146.82.193.90:80    T closed  TX: 4846         
â",     192.168.1.104:36033 -   146.82.193.90:80    T closed  TX: 3306         
â",     192.168.1.104:42756 -   146.82.193.90:80    T closed  TX: 5956

User messages:

se queda en

â", GROUP 1 : 192.168.1.104 A4:ED:4E:FC:13:88                                   
â",                                                                             
â", GROUP 2 : 192.168.1.1 00:E0:4C:00:00:02                                     
â",Starting Unified sniffing...  y no da resultados  :o


D3M0N

 ;) bien, ahi ya solo hay que esperar....  ??? ??? ??? ??? ???

http://www.youtube.com/v/EUViqcGQntc

la cuestion es tambien el sistema que vamos a atacar y que tiene que nos moleste (antivirus, antispy, firewall, etc).

diego10

#8
puede tener problemas el resultado del snifado si las victimas usan custom DNS o proxy?
You are not allowed to view links. Register or Login custom DNS

veo mucho trafico pero en el apartado "User messages" esta vacio  :-[

D3M0N

habilitaste el SSL en el archivo etter.conf?

spikeich

para habilitar el SSL hay q modificar en el archivo etter.conf esta linea:

#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"</p>

y cambiarla por la de abajo?


Cídigo:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

diego10

no veo exactamente asi la linea. ademas uso macintosh y creo que la modificacion que me pasaste es de linux

spikeich

si exactamente la q te pase es la de linux!! yo tambien uso mac pero emulo el ubuntu, me resulta un poco mas facil para mi!!
esta lines te aparecen:


#    Mac Os X
#---------------

# quick and dirty way:
   #redir_command_on = "ipfw add fwd 127.0.0.1,%rport tcp from any to any %port in via %iface"
   #redir_command_off = "ipfw -q flush"

# a better solution is to use a script that keeps track of the rules interted
# and then deletes them on exit:

# redir_command_on:
# ----- cut here -------
#   #!/bin/sh
#   if [ -a "/tmp/osx_ipfw_rules" ]; then
#      ipfw -q add `head -n 1 osx_ipfw_rules` fwd 127.0.0.1,$1 tcp from any to any $2 in via $3
#   else
#      ipfw add fwd 127.0.0.1,$1 tcp from any to any $2 in via $3 | cut -d " " -f 1 >> /tmp/osx_ipfw_rules
#   fi
# ----- cut here -------

# redir_command_off:
# ----- cut here -------
#   #!/bin/sh
#   if [ -a "/tmp/osx_ipfw_rules" ]; then
#      ipfw -q delete `head -n 1 /tmp/osx_ipfw_rules`
#      rm -f /tmp/osx_ipfw_rules
#   fi
# ----- cut here -------

seguro sera algo de ahi creo q yo!! seguramente D3M0N sepa!

diego10

ya cambie la linea de linux como dijiste pero no paso nada
sigo ciego... a ver si D3M0N sabe que m13rD@ hay que cambiar en OSX  :-X


gracias igual

diego10

sudo nano /opt/local/etc/etter.conf

The following lines, which are at the top of the file, need to be modified. Replace 65534 with 0.

ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default
Then search for the next lines by hitting ctrl-w, typing “redirect_command” and scrolling down a little till you see the Mac OSX section. Right now we are just going to use the “quick and dirty way” but you can also create those scripts yourself and use them too.

All this means it uncommenting the two lines by removing the # at the start.

#---------------
# Mac Os X
#---------------

# quick and dirty way:
redir_command_on = "ipfw add fwd 127.0.0.1,%rport tcp from any to any %port in via %iface"
redir_command_off = "ipfw -q flush"
Now hit ctrl-O to save and ctrl-X to exit nano.