Bettercap的安装和使用嗅探WIFI

一、首先安装bettercap

我这里的环境是ubuntu 16.04

apt-get install build-essential ruby-dev libpcap-dev git ruby
gem install bettercap

二、开始嗅探：

bettercap -I wlp9s0b1 -X

然后会自动发现主机：

之后开始嗅探如下图其实是一张照片。

后面还能看到有人在使用微信，不过腾讯对内容做了加密是没有明文内容的。

 下面是摘自他人博客的bettercap具体参数教程：

-h, --help                          使用帮助;
-G, --gateway ADDRESS               手动指定网关地址,如果没有指定当前的网关,网关将被自动检索和使用;
-I, --interface                     指定网络接口名，默认为eth0;
-S, --spoofer NAME                  指定欺骗模块，此参数默认为ARP，支持ICMP与ARP,可设为None;
-T, --target ADDRESS1,ADDRESS2      目标IP地址,如果没有将指定整个子网为目标,
    --ignore ADDRESS1,ADDRESS2      寻找目标时,忽略指定的地址;
-O, --log LOG_FILE                  把所有消息记录到一个文件中,如果未指定则只打印到shell,
    --log-timestamp                 启用日志记录每一行的时间戳,默认禁用;
-D, --debug                         调试功能，会将每一步操作详细记录，便于调试;
-L, --local                         解析流经本机的所有数据包（此操作会开启嗅探器），默认为关闭;
-X, --sniffer                       开启嗅探器,
    --sniffer-source FILE           加载指定的PCAP包文件,而不是使用接口(此操作将开启嗅探器),
    --sniffer-pcap FILE             将数据包保存为指定的PCAP文件（此操作会开启嗅探器),
    --sniffer-filter EXPRESSION     配置嗅探器使用BPF过滤器（此操作会开启嗅探器);
-P, --parsers PARSERS               解析指定的数据包并用逗号分隔（此操作会开启嗅探器),支持
    IRC, WHATSAPP, HTTPAUTH, HTTPS, MYSQL, POST, REDIS, DICT, COOKIE, NNTP,
    MPD, SNMP, PGSQL, RLOGIN, NTLMSS, SNPP, URL, FTP, DHCP, MAIL, CREDITCARD.
    --custom-parser EXPRESSION      使用正则表达式来捕获和显示嗅探的数据(此操作会开启嗅探器),
    --silent                        如果不是警告或者错误消息,就不显示,默认关闭,
    --no-discovery                  不主动寻找目标主机,只使用当前的ARP缓存,默认关闭,
    --no-spoofing                   禁用欺骗,同--spoofer NONE命令,
    --no-target-nbns                禁用NBNS主机名,
    --half-duplex                   使用半双工模式,遇到大流量路由器时可以保证其正常工作,    
    --proxy                         启用HTTP代理和重定向所有HTTP请求,默认关闭,          
    --proxy-https                   启用HTTPS代理和重定向所有HTTPS请求,默认关闭,           
    --proxy-port PORT               设置HTTP代理端口,默认为8080,     
    --http-ports PORT1,PORT2        用逗号分隔需要重定向到代理的HTTP端口,默认为80,
    --https-ports PORT1,PORT2       用逗号分隔需要重定向到代理的HTTPS端口,默认为443,
    --proxy-https-port PORT         设置HTTPS代理端口,默认为8083,
    --proxy-pem FILE                为HTTPS代理使用自定义PEM证书文件,默认文件为
                                    /root/.bettercap/bettercap-ca.pem,
    --proxy-module MODULE           要么加载Ruby代理模块,要么加载injectjs,
                                    injectcss,injecthtml之一 
    --custom-proxy ADDRESS          使用一个自定义HTTP上游代理,而不是嵌入式的,   
    --custom-proxy-port PORT        为自定义的HTTP上游代理指定一个端口,默认为8080,
    --no-sslstrip                   禁用SSLStrip,
    --custom-https-proxy ADDRESS    使用一个自定义HTTPS上游代理,而不是内置的,
    --custom-https-proxy-port PORT  为自定义的HTTPS端口指定上游代理,默认为8083,
    --custom-redirection RULE       使用自定义的端口重定向,格式是:
    PROTOCOL ORIGINAL_PORT NEW_PORT. 例如:TCP 21 2100,重定向所有TCP流量，从端口21定向到端口2100.
    --httpd                         启用HTTP服务器,默认关闭,
    --httpd-port PORT               设置HTTP服务器端口,默认为8081,
    --dns FILE                      使用DNS服务器文件作为解析表,
    --dns-port PORT                 设置DNS服务器端口,默认为5300,
    --httpd-path PATH               设置HTTP服务器路径,默认为:./,
    --kill                          杀掉连接目标,不转发,
    --packet-throttle NUMBER        设置要发送的每个数据包之间延迟的秒数,
    --check-updates                 检查更新.

官方部分实验命令举例：

Default sniffer mode, all parsers enabled: 
sudo bettercap -X
Enable sniffer and load only specified parsers: 
sudo bettercap -X -P “FTP,HTTPAUTH,MAIL,NTLMSS”
Enable sniffer and use a custom expression: 
sudo bettercap -X –custom-parser “password”
Enable sniffer + all parsers and parse local traffic as well: 
sudo bettercap -X -L
Enable sniffer + all parsers and also dump everything to a pcap file: 
sudo bettercap –sniffer –sniffer-pcap=output.pcap
What about saving only HTTP traffic to that pcap file? 
sudo bettercap –sniffer –sniffer-pcap=http.pcap –sniffer-filter “tcp and dst port 80”
Default ARP spoofing mode on the whole network without sniffing: 
sudo bettercap

参考：

http://blog.csdn.net/c465869935/article/details/50900067