Tengo un problema con una red lan.
Anteriormente podia ejecutar el ettercap + sslstrip y podia esnifear https, amen de los errores clasicos del sslstrip (por lo de el udp)
Aqui posteo:
 Terminal1:
  iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
  sslstrip -p -f
 Termina2
  ettercap -Tqi eth1 -M arp:remote // /gateway/ -P autoadd
En ocasiones usaba el tcpkill a toda la subred excepto mi ip, a ciertos hosts, etc
Podia usar el msgsnarf y capturaba el msn. Esto incluyendo los Blacberry y los iphone.
Hasta aqui todo se capturaba.
 
Despues de algun tiempo, ya no puedo esnifear nada.

Me extrano que no podia capturar nada, lo que hice fue tratar de matar conexiones con tcpkill, y nada tampoco. corri el msgsnarf, para ver si podia esnifear el msn, y nada tampoco...

Esto lo habia hecho anteriormente y funciono...

Corri el nmap para ver que sucedia y en una de las PC's, me extranio ver en el puerto 5835 un httpd v2. Un Apache? en una laptop del usuario?
ademas de que anteriormente, el nmap me mostraba solo su ip y su mac, ahora me presentaba el nombre de la pc.lan, su ip y su mac...Me extranio el "nombre.lan"

Al entrar al enrutador, las ip del wifi me las mostraba con el mismo nombre todas, esto es:
pc1 = nombrex
pc2= nombrex
pc3=nombrex
y asi sucesivamente.
Anteriormente me presentaba:
pc1 = mi pc
pc2 = laptop Dell
etc.

Me extranio tambien que al correr el nmap asi:
 nmap -sC -sS -sV -O --osscan-guess 192.168.1.0/24
 no me presenta una pc..
Esta pc la detecte con nmap -sP 192.168.1.0/24 y estaba en el enrutador como una pc4..
Por eso me extranio no ver esa pc en el primer nmap sino solo con nmap -sP.

Como dato adicional, el enrutador es un Thompson y el la opcion de DNS (configurar, viene la ip de la laptop con el apache, el nombre x y su ip (la ip me la muestra el nmap tambien).

Pero no siempre esta prendida la laptop con el httpd..


No me permite hacer ping a la laptop con el Apache...


Alguna idea de lo que pasa?

Perdon, pero alguien podria postear nuevamente estos videos de un post pasado con el titulo de "Todos los videos de metasploit? o algun link para descarga o verlos?..Agradeceria su ayuda...
Saludos y agradezco su atencion de antemano.

Hola neo..Lo estas haciendo bien..Redireccionas el trafico de la victima con ip_forward, esto para que no se corte la conexion de la victima...ya hiciste el envenenamiento de arps con el arpspoof en las 2 direcciones...Se captura bien tu info en Log..Pero a veces ese archivo trae un candadito, lo puedes vizualizar?..Solo cambiale los permisos con chmod 777 log.....O lo copias a otro directorio..Recuerda que el que crea el archivo es el propietario, pero al copiarlo, tu lo creas en esa nueva carpeta, y desaparece el candadito del archivo...Despues usa tcpxtract, descargalo desde repos o desde la pag. del autor...Si quieres hazlo desde repos (Synaptics o aptitude install tcpxtract, esto como root).
Solo haz tcpxtract -f log -o NOMBRE_DE_ARCHIVO_DE_SALIDA
Recuerda que tienes varias formas de snifear la red:
  Captura de Texto y Graficos: dsniff, tcpdump (mi favorito), wireshark, ettercap.
  Si lo haces a mano, como tu lo hiciste, con 3 terminales, haces tu envenenamiento de arps, y usas el tcpdump, o dsniff o wireshark desde linea de comandos..Si lo quieres con interface grafica, usa Wireshark, pero primero haz tu envenenamiento...
  dsniff es una suite, trae varios programas, webspy, mailsnarf, msgsnarf, webspy, etc..Una vez envevenado la victima, puedes usar todos a la vez, en varias ventanas...
 Si lo que quieres es snifear ssl (claves como gmail, yahoo, hotmail), lo haces a pie con linea de comandos o usas ettercap..Ettercap haces el envenenamiento de forma grafica..Yo prefiero a mano, configuras el archivo etter.conf y ya esta listo para ssl/TSL...
Si vas a mano, usas las iptables, arpspoof y webmitm (parte del dsniff)...
Saludos y suerte...