Amusement avec des filtres d'Ettercap

Lisez ceci voient alors la vidéo instantanée à :
 http://www.irongeek.com/i.php?page=videos/ettercapfiltervid1

        Ettercap ^[1] est sorte du couteau d'armée suisse de l'empoisonnement d'arp ^[2] et du reniflement de réseau. Ettercap peut être prolongé en employant des filtres et des connexions, le rendant capable faire tout des sortes de tâches ordonnées de réseau. Utilisant des filtres est ce que je prévois de montrer dans ce cours d'instruction. La manière la plus facile de courir Ettercap est des Cd de l'auditeur ^[3] ou du Knoppix de botte. La version que je courrai dans ce cours d'instruction est Ettercap NG-0.7.3.

        Ce qui m'a inspiré la première fois jouer avec des filtres d'Ettercap était l'utilisation d'Airpwn chez Defcon 12 ^[4]. Les créateurs d'Airpwn ont utilisé leur petit outil ingénieux pour remplacer des images en pages Web que les participants de conférence ont surfées à avec l'image de Goatse. Si vous ne savez pas ce qu'est Goatse, vous ne voulez pas probablement demander. Airpwn peut être un peu difficile à configurer, compiler et courir, mais j'ai figuré que je pourrais faire plus ou moins la même chose avec un filtre d'Ettercap. Puisqu'Ettercap peut être compilé sur Linux, le schéma, le Mac OS X et le Windows 200/XP/2003 et peuvent travailler à sans fil (802,11) et LANs de câble son public cible est beaucoup plus grand qu'Airpwn. Ettercap a la capacité de conduire le trafic cependant lui-même utilisant le « homme dans » les attaques moyennes et d'utiliser alors des filtres pour modifier les données avant de l'envoyer dessus à la victime.  Au commencement j'ai voulu faire la même chose que les types d'Airpwn, mais avec l'image de Tubgirl à la place (de nouveau, ne demandez pas, je suis un bâtard malade).  Pour ce cours d'instruction j'ai décidé de compromettre et avoir juste les images en pages Web remplacées par le Rogers gai :

        Oui, ce cours d'instruction est un déviant de peu, mais vous pouvez employer les qualifications apprises de lui pour faire beaucoup d'autres tâches utiles. La première chose que nous devons faire est de créer un filtre d'Ettercap. Est ci-dessous le code source pour le mien :

############################################################################
#                                                                          #
#  très Pwned -- ig.filter -- fichier source de filtre                          #
#                                                                          #
#  par Irongeek. basé sur le code d'ALoR et de NaGA                             #
#  avec de l'aide du kev et du jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  ce programme est logiciel gratuit ; vous pouvez le redistribuer et/ou le modifier    #
#  il en vertu du permis de grand public de GNOU comme édité par    #
#  Free Software Foundation ; ou version 2 du permis, ou       #
#  (à votre option) toute version postérieure.                                     #
#                                                                          #
############################################################################
si (== 80 de && tcp.dst de TCP de == d'ip.proto) {
   si (recherche (DATA.data, « Accepter-Codage »)) {
      remplacez (« Accepter-Codage », « Accepter-Déchets ! ") ; 
	  # note : la corde de rechange est la même longueur que la corde originale
      msg (« Accepter-Codage zapped ! \ n ») ;
   }
}
si (== 80 de && tcp.src de TCP de == d'ip.proto) {
   remplacez (« src= d'IMG », « src= d'IMG \ « http://www.irongeek.com/images/jollypwn.png \ » ") ;
   remplacez (« IMG SRC= », « src= d'IMG \ « http://www.irongeek.com/images/jollypwn.png \ » ") ;
   msg (le « filtre a fonctionné. \ n ») ;
}

        Le code devrait être assez explicite à n'importe qui avant qui a fait beaucoup de codage (il est infiniment comme C et d'autres langues). # les symboles sont des commentaires. « Si » le rapport indique le filtre travailler seulement au paquet de TCP du port 80 de source, en d'autres termes venant d'un web server. Cet essai peut encore manquer quelques images, mais devrait obtenir la plupart d'entre elles. Je ne suis également pas sûr au sujet de l'ordre d'Ettercap de l'opération avec ET (le &&) et OU (||) les rapports mais ce filtre semble en grande partie fonctionner (j'ai essayé d'employer des parenthèses pour spécifier explicitement l'ordre de l'opération avec les opérateurs booléens mais ceci m'a donné compilent des erreurs).  « Remplacez » la fonction remplace la première corde de paramètre par la deuxième.  En raison de la manière que ce remplacement de corde la fonctionne essayera les étiquettes mutilées d'image et insérera l'image nous désirons dans le HTML de la page Web avant qu'il le renvoie à la victime. Les étiquettes peuvent finir sembler vers le haut quelque chose comme ce qui suit :

                src= " http://www.irongeek.com/images/jollypwn.png » /images/original-image.jpg de <img >

        L'endroit original d'image sera toujours dans l'étiquette, mais la plupart des navigateurs de Web devraient la voir comme paramètre inutile. Les copies de fonction de « msg » juste à l'écran nous faisant savoir que le filtre a mis le feu au loin.

        Maintenant que nous assortissons de comprenez que les fondations du filtre laisse le compiler. Prenez le code source d'ig.filter énuméré ci-dessus et collez-le dans un fichier texte, puis compilez le filtre dans un dossier de .ef utilisant la commande suivante :

            etterfilter ig.filter - o ig.ef

        Maintenant que soyez le filtre est compilé nous doit viser les centres serveurs que nous voulons au poison d'arp et court le filtre dessus. Voici la page de manuel d'un Ettercap de forme de citation sur la façon dont l'optimisation fonctionne :

Citation de la page de manuel d'Ettercap :

SPÉCIFICATIONS DE CIBLE Il n'y a aucun concept de SOURCE ni de DEST. Les deux cibles sont prévues à filtrez le trafic venant d'un à l'autre et vice-versa (depuis le raccordement est bi-directionnel). La CIBLE est sous la forme MAC/IPs/PORTs. Si vous voulez vous pouvez omettre quelles de ses pièces et ceci en représenteront dans cette cloison. par exemple. « //80" signifie N'IMPORTE QUEL MAC address, N'IMPORTE QUEL IP et SEULEMENT port 80 « /10.0.0.1/ » moyens TOUT MAC address, SEULEMENT IP 10.0.0.1 et TOUT port Le MAC doit être unique et pendant le 0h11 de forme : 22h33 : 44 : 55 L'IPS est une gamme d'IP dans la notation pointillée. Vous pouvez spécifier la gamme avec - (trait d'union) et IP simple avec, (virgule). Vous pouvez également employer ; (point-virgule) pour indiquer différents IP address. par exemple. « 10.0.0.1 - 5 ; 10.0.1.33 » augmente dans IP 10.0.0.1, 2, 3, 4, 5 et 10.0.1.33 Les ports est une gamme des PORTS. Vous pouvez spécifier la gamme avec - (le trait d'union) et port simple avec, (virgule). par exemple. « 20-25,80,110 » augmente dans les ports 20, 21, 22, 23, 24, 25, 80 et 110 NOTE : vous pouvez renverser l'assortiment de la CIBLE en ajoutant - l'option de R à la ligne de commande. Ainsi si vous voulez renifler TOUT LE trafic MAIS celui venez ou aller à 10.0.0.1 vous pouvez spécifier « . /ettercap - R /10.0.0.1/ » NOTE : Les cibles sont également responsables du balayage initial du LAN. Vous pouvez employez-les pour limiter le balayage seulement à un sous-ensemble des centres serveurs dans le filet masque. Le résultat du fusionnement entre les deux cibles sera balayé. rappelez-vous cela ne pas spécifier des moyens d'une cible « aucune cible », mais spécifiant « / » moyens « tous les centres serveurs dans le filet inférieur.

        Ainsi, si nous voulions viser tous les centres serveurs sur le réseau nous emploierions la commande suivante :       

            ettercap - T - q - F ig.ef - M arp ////

        Faites attention avec la commande ci-dessus, en ayant tout les trafic sur un grand réseau allant bien qu'un ordinateur lent puisse vraiment s'embourber des connexions réseau. Si nous avions une victime spécifique à l'esprit, disons un centre serveur avec l'IP 192.168.22.47, nous emploierait cette commande :

            ettercap - T - q - F ig.ef - M arp /192.168.22.47/ //

        Voici ce que la ligne de commande drapeaux d'option font :

- T indique Ettercap employer l'interface des textes, j'aiment cette option le meilleur car plus de modes de GUI sont plutôt embrouillants.
- q indique Ettercap être plus de tranquillité, en d'autres termes moins bavarde.
- F indique Ettercap utiliser un filtre, dans ce cas-ci ig.ef que nous avons compilé plus tôt.
- M indique à Ettercap la méthode de MITM (homme au milieu) que nous voulons employer, dans ce cas-ci empoisonnement d'arp.

Une fois qu'Ettercap fonctionne nous devrions obtenir à du rendement quelque chose comme ce qui suit :

l'ettercap - T - q - F ig.ef - M arp /192.168.22.47/ //a produit :

root@Cthulhu : ettercap de /usr/share/ettercap# - T - q - F ig.ef - M arp /192.168.22.47/ // copyright de l'ettercap NG-0.7.3 ALoR 2001-2004 et NaGA Filtres contents chargés d'ig.ef… Écoute sur eth0… (Ethernet) eth0 - > 0h04 : 56 : B8 : 70 : ANNONCE 192.168.19.56 255.255.240.0 La dissection de SSL a besoin d'un manuscrit valide de « redir_command_on » dans le dossier d'etter.conf Privilèges laissés tomber à UID 65534 GID 65534… 28 connexions 39 dissecteurs de protocole 53 ports surveillés empreinte digitale de fournisseur de 7587 impers empreinte digitale d'OS de 1698 tcp 2183 services connus Randomisant 4095 centres serveurs pour le balayage… Balayant le netmask entier pour 4095 centres serveurs… * |==================================================>| 100.00 % 526 centres serveurs supplémentaires à la liste de centres serveurs… Victimes d'empoisonnement d'arp : GROUPE 1 : 0h04 de 192.168.22.47 : 56 : B8 : 70 : ANNONCE GROUPE 2 : QUELS (tous les centres serveurs dans la liste) Commençant le reniflement unifié… Interface des textes seulement activée… Coup « h » pour l'aide intégrée Le filtre a fonctionné. Le filtre a fonctionné.

Au-dessous de vous peut voir ce que ressemblent les pages Web d'Antionline et de Binrev à le moment où la victime essaye de les regarder :

Binrev a couru cependant le filtre :	Antionline a couru cependant le filtre :

        Refroidissez huh ? Maintenez dans l'esprit que ce filtre ne semble pas mettre le feu au loin pour toutes les images, il est un petit coup et manque. Pour plus d'information sur des choses que vous pouvez faire des filtres d'Ettercap regardez le code d'échantillon dans le dossier « etter.filter.examples » qui vient avec Ettercap. Sur ma boîte ce dossier est localisé dans /usr/share/ettercap/etter.filter.examples. Vérifiez également le cours d'instruction du kev sur les filtres d'Ettercap ^[5]. Voulez garder d'autres gens de faire ce genre de malice sur votre réseau ? Voici quelques options :

1. Employez les tables statiques d'arp entre les centres serveurs importants (pas très pratiques dans la plupart des cas).
2. Employez ARPWatch ou une identification pour repérer quand quelqu'un retire une attaque d'empoisonnement d'arp.
3. Le trafic chiffré utilisant VPN ou le SSL devrait le faire cependant sans risque, à moins que naturellement l'attaquant emploie certaines des possibilités proxing d'Ettercap.

Appréciez.

Davantage de recherche :

[1] Page Web d'Ettercap :
http://ettercap.sourceforge.net/

[2] Mon cours d'instruction sur les fondations d'Arpspoofing/Arppoisoning :
http://www.irongeek.com/i.php?page=security/arpspoof

[3] Page Web de collection de sécurité d'auditeur :
http://www.remote-exploit.org/?page=auditor

[4] Airpwn chez Defcon 12 :
http://www.evilscheme.org/defcon/

[5] Le cours d'instruction du kev sur des filtres d'Ettercap :
http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833&sid=e541f515a1d4ef76b4ba32073a8777ee

Version imprimable de cet article