ettercap para novatos

despues de mucho trastear, se los dejo por aqui:

Intrusion en redes wireless y ataques en redes

Usando ettercap-ng 0.7.3

Bien, tengo la clave wep (de tu router por supuesto, estas en tu red wifi) ahora, ademas de navegar... que puedo hacer?? pues muchas cosas. veamos cuales son.

Ettercap

ettercap-ng es la mejor herramienta para usar en redes con Hub o switch, ya que te permite analizar el trafico que pasa por tu red. Poniendo en modo promiscuo la tarjeta de red Wireless o ethernet, seras capaz de ver conexiones tienen tus computadoras con el router y que trafico hay en ellas, con que ips conectan y que intercambian, en texto plano.

texto plano?? si, texto plano! son todos aquellos datos que viajan sin encriptacion, tales como algunas web, passwords, conversaciones de messenger, etc.

algo de teoria: Para sniffar correctamente, es necesario una victima y un router/switch, debes de envenenar las tablas cache de tu victima y de tu router, veamos un ejemplo:

tablas cache 192.168.1.45
192.168.1.254 00:44:66:55:33:55
192.167.1.23 00:11:22:33:44:55

tablas cache 192.168.1.254
192.168.1.45 22:33:55:46:66:77
192.167.1.23 00:11:22:33:44:55

estas, serian las tablas cache de tus equipos en red. vemos que hay IP/MAC. De eso se encarga... ARP (Adress resolution protocol) de asegurarse que todo esto este correcto y funcionando. Veamos un ejemplo de ARP poisoning.

tablas cache de 192.168.1.45
192.168.1.254 00:22:33:44:55:66 <----mac del atacante simulando ser el router
192.167.1.23 00:11:22:33:44:55

tablas cache de 192.168.1.254
192.168.1.45 00:22:33:44:55:66 <-----mac del atacante simulando ser el cliente
192.167.1.23 00:11:22:33:44:55

y todo el trafico de tu red pasara por tu tarjeta de red. Veamoslo en la practica

instalamos ettercap desde synaptic (Ubuntu 9.04) o desde su fuente. No debemos olvidar que se ejecuta con permisos de root

y lo abrimos, una interfaz muy limpia y ordenada nos da la bienvenida:

vamos al menu sniff y seleccionamos Unified Sniffing. Este unified sniffing es para seleccionar la interfaz de la tarjeta de red que queremos que sniffe. (eth0 es para Ethernet y rausb0,wlan0,ath0 es para wifi) no esta de mas decirte que debes de estar asociado a la red que quieres sniffar

ya que empezamos, y ettercap acepto nuestra interfaz ahora lo que sigue:

Scaneo de host: scanear host significa que hara un scan de la gente conectada a tu red, independientemente de que sean WIFI o ethernet... lo he probado y funciona muy bien con wifi a ethernet

presionamos ctrl + S y aparecera la ventana que indica que esta sniffando hosts:

al terminar... presionamos H y nos apareceran los host de tu red, incluyendo en router, seleccionamos la victima y luego presionamos "add to target 2" y luego el router y presionamos "add to target 1"

veamos la interfaz y los botones

Teoria: en si, esto es para envenenar las tablas ARP de ambas victimas... el ataque se llama Man In The Middle y consiste en hacer pasar todo el trafico entre la victima y el router por nuestra tarjeta de red. Esto es que el trafico desde la victima sea dirigido a nuestra MAC, convenciendo a la victima que nosotros somos el router, y despues de "analizarlo" sea enviado al router... simulando ser el cliente victima, y viceversa.

ya que hemos seleccionado nuestra victima procedemos a envenenar sus arp:

Seleccionamos Mitm del menu de ettercap y luego le damos en ARP Poisoning, seleccionamos "sniff remote connections"

y le damos en aceptar, asi:

ahora solo es cuestion de presionar ctrl + W y empezar a sniffar

podemos ver el trafico que se genera en distintos puertos, presionando ctrl + c y presionando enter podremos ver el trafico que circula en ese puerto.

Puertos para ver:

1863----> tios en el messenger
80----->tios viendo websites

presionando ctrl + o veremos las ips conectadas y su nombre de dominio.

veamos una captura normal... halle una password!!! pero es la mia

veamos un trafico normal de un puerto, especificamente el 1863, para ver texto plano. Nota: no es muy efectivo en estos casos, ya que solo captura parte de la conversacion.

veamos para que otras cosas sirve ettercap-ng

filtros en ettercap

los filtros se encargan de analizar los paquetes y cuando ven una coincidencia, ejecutan una accion sobre el paquete, ya sea inyectarle algo, o quitarle algo, es muy util, cuando requerimos que no haya conexiones al puerto 23,445 u otros... o matar todas las conexiones cifradas al puerto 80...

veamos un ejemplo de filtro:

este un filtro; lo copian a /usr/share/ettercap y lo ponen como ig.txt:

Código:

############################################################################
# #
# hacked -- ig.filter -- filter source file #
# #
# By rockernault. based on code from ALoR & NaGA #
# Along with some help from Kev and jon.dmml #
# http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833 #
# #
# This program is free software; you can redistribute it and/or modify #
# it under the terms of the GNU General Public License as published by #
# the Free Software Foundation; either version 2 of the License, or #
# (at your option) any later version. #
# #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://img91.imageshack.us/img91/5052/xxxtqd.jpg\" ");
replace("IMG SRC=", "img src=\"http://img91.imageshack.us/img91/5052/xxxtqd.jpg\" ");
msg("Filter Ran.\n");
}

ahora, ya que lo copiaron a la ruta que les dije es cuestion de compilarlo

veamoslo en la terminal

en mi caso, el filtro lo genero en /home/user, pero si son root lo generara alli mismo

asegurense que el filtro, llamado "filter.ef" este en la ruta donde estan todos los demas archivos (/usr/share/ettercap)

y solo es cuestion de aplicarlo, en el menu "filter" de ettercap o presionando ctrl + F

y aparecera este ejemplo

si lo quieren desarmar es cuestion de presionar F

y eso es todo acerca de los filtros en ettercap.

DNS SPOOFIN'

las dns son como un anuario donde se guardan las relaciones IP/dominio... veamos algunos ejemplos...

192.35.46.45 www.seguridadwireless.net
74.35.34.52 www.google.com
18256.457.67 http//www.segtr.com

un spoofin es una creación de tramas TCP/IP con la ayuda de una dirección IP falsa. El generador del spoofing (ettercap-ng) trata de simular la identidad de otra máquina para redireccionarla a una pagina falsa u otra pagina

veamos como se hace.

editamos el fichero /usr/share/ettercap/etter.dns

y por ejemplo, para redireccionar google, asi quedaria el archivo:

Código:

############################################################################
# #
# ettercap -- etter.dns -- host file for dns_spoof plugin #
# #
# Copyright (C) ALoR & NaGA #
# #
# This program is free software; you can redistribute it and/or modify #
# it under the terms of the GNU General Public License as published by #
# the Free Software Foundation; either version 2 of the License, or #
# (at your option) any later version. #
# #
############################################################################
# #
# Sample hosts file for dns_spoof plugin #
# #
# the format is (for A query): #
# www.myhostname.com A 168.11.22.33 #
# *.foo.com A 168.44.55.66 #
# #
# or for PTR query: #
# www.bar.com A 10.0.0.10 #
# #
# or for MX query: #
# domain.com MX xxx.xxx.xxx.xxx #
# #
# or for WINS query: #
# workgroup WINS 127.0.0.1 #
# PC* WINS 127.0.0.1 #
# #
# NOTE: the wildcarded hosts can't be used to poison the PTR requests #
# so if you want to reverse poison you have to specify a plain #
# host. (look at the www.microsoft.com example) #
# #
############################################################################

################################
# owned
#
#

http://www.cambridge.org A 216.139.248.8
*.cambridge.org MX 216.139.248.8
http://cambridge.org PTR 216.139.248.8 # Wildcards in PTR are not allowed

[b]################################
# owned
#
#

www.google.com.mx A 216.139.248.8
www.google.com A 216.139.248.8
www.google.com.ar PTR 216.139.248.8 # Wildcards in PTR are not allowed
[/b]

##########################################
# no one out there can have our domains...
#

www.cambridge.org/touchstonearcade/ A 216.139.248.8
http://cambridge.org/touchstonearcade A 216.139.248.8

###############################################
# one day we will have our ettercap.org domain
#

www.ettercap.org A 127.0.0.1
ettercap.sourceforge.net A 216.136.171.201

###############################################
# some MX examples
#

alor.org MX 127.0.0.1
naga.org MX 127.0.0.1

###############################################
# This messes up NetBIOS clients using DNS
# resolutions. I.e. Windows/Samba file sharing.
#

LAB-PC* WINS 127.0.0.1

# vim:ts=8:noexpandtab

y es cuestion de reemplazar y/o añadir paginas para hacer pharmin' en tu red... redireccionando a tu hermano, amigo, pariente a una web.... y a ti...

ahora solo presionando ctrl + p y presiona enter en la linea donde dice DNS spoof sends dns spoofed replies

como en la imagen

y eso es todo... el ettercap tiene mas usos... pero esos son los mas comunes...

Copyleft solo citenme!!

En Exclusiva para:

http://foro.elhacker.net
http://foro.xinformatica.net
http:/foro.seguridadwireless.net