Ettercap: تعطیلات در خیابان شما. دستورالعمل های Ettercap: حمله Man-in-the-Middle (MitM)، رهگیری رمز عبور، بای پس HSTS، جعل داده ها در حال پرواز، استفاده از فیلترها و پلاگین های سفارشی، قلاب کردن BeEF، قلاب کردن عفونت در پشتی B

اسکن شبکه های وای فای به آسانی کامپایل برنامه ها از منبع در یک سیستم عامل لینوکس است. اگر می خواهید بررسی کنید که همسایه شما به طور کلی امنیت رایانه یا فناوری رایانه را درک می کند. و همچنین کمی بیشتر از آنچه او می خواهد در مورد او بیاموزد. و در عین حال، او در واقع به لطف بی سوادی خود این کار را به شما پیشنهاد می کند. سپس از شما می‌خواهم که امواج این توصیف را بیشتر دنبال کنید.

قهرمان این مقاله یک برنامه کوتاه، اما هوشمند و زیرک به نام . در دنیای لینوکس بسیار رایج است و تقریباً در مخازن همه توزیع ها یافت می شود. Ettercap، مانند هر برنامه یونیکس واقعی، دو تجسم دارد: یک رابط خط فرمان CLI تمیز، بدون هیچ دکمه و سوت. یک رابط گرافیکی سنگین تر، اما مبتدی پسند (نوشته شده در کتابخانه های GTK، اما طراحی شده برای کار در درجه اول تحت Gnome.).

تحت برنامه ettercap، علاوه بر این که خودش می تواند کارهای زیادی انجام دهد، تعداد زیادی افزونه وجود دارد که قابلیت های آن را بسیار گسترش می دهد. با ettercap می توانید کارهای زیادی انجام دهید.

البته ettercap تنها ابزار در نوع خود نیست. یک aircrack-ng به همان اندازه معروف و "فانتزی" وجود دارد. اما در اینجا ما ettercap را انتخاب می کنیم. و خواهید دید که چرا.

من کار برنامه ettercap را با استفاده از توزیع Blackbuntu به عنوان مثال می‌آورم. این یک سیستم عامل بسیار خوب برای پنتستینگ است که اصلاً "به وجود آمد". با برنامه ها و ابزارهای ضروری اوبونتو (به طور دقیق تر - اوبونتو 10.10) دوباره طراحی و تکمیل شده است. بنابراین کسانی که به کار با این سیستم عامل عادت دارند، در محیطی آشنا احساس حضور در بلک‌بونتو خواهند داشت. مجموعه برنامه ها برای pentesting تقریباً به خوبی BackTrack معروف است. خوب، طراحی کیت توزیع سزاوار یک موضوع جداگانه برای بحث است. با این حال، ما منحرف می شویم. بیایید به برنامه ettercap برویم.

شروع حالت مسمومیت arp در ettercap

در کادر محاوره ای که برای تنظیم این حالت ظاهر می شود، روی اتصالات Sniff Remote یک تیک می زنیم.

Sniff Remote در ettercap

حالا باید به منوی افزونه ها برویم و یکی از آنها را انتخاب کنیم - chk_poison . کار این افزونه از نام آن مشخص است - بررسی می کند که آیا حالت رهگیری مسمومیت arp را فعال کرده ایم یا خیر. به منوی Plugins بروید - Plugins را مدیریت کنید، chk_poison را پیدا کنید و برای اجرای آن دوبار کلیک کنید.

به مدیریت افزونه در ettercap بروید

پنجره مدیریت پلاگین در ettercap

اگر حالت رهگیری با موفقیت روشن شد، در پنجره ورود باید ورودی زیر را مشاهده کنیم:

در حال فعال کردن پلاگین chk_poison... chk_poison: باید این افزونه را در طول جلسه مسمومیت اجرا کنید. sniffing یکپارچه قبلا شروع شده است...

اکنون می توانید استراحت کنید و ببینید که روند بو کردن چگونه پیش می رود. به منوی View - Connections بروید و ببینید چه چیزی دریافت کردیم.

فرآیند اسنیفینگ در ettercap

همانطور که می بینید، پنجره Connections بسیار آموزنده است. آدرس های IP ماشین ها، وضعیت آنها، تعداد بایت های منتقل شده بین هر یک از آنها نشان داده شده است. اگر می‌خواهیم اطلاعات دقیق‌تری را ببینیم (آنچه در حال ارسال است)، یک خط را از لیست انتخاب کرده و برای باز کردن آن دوبار کلیک کنید. یک پنجره جداگانه ظاهر می شود که بسته های رهگیری شده بین این ماشین ها را نشان می دهد.

Ettercap به گونه ای پیکربندی شده است که رمز عبور و لاگین های ارسال شده از طریق شبکه محلی را به طور خودکار ضبط و ذخیره کند. باقی مانده است که کمی صبر کنیم.

سیستم عامل مورد استفاده در مثال ها اوبونتو 14.04 است. بخش قابل توجهی از عملیات فوق مستلزم حقوق superuser است و برنامه های کاربردی در صورتی که مجوزهای کافی را نداشته باشند به یک طریق این را گزارش می دهند. فرض می کنیم که همه دستورات از طرف superuser اجرا می شوند.

1. قوانین تغییر مسیر را در فایل ویرایش کنید:

/etc/ettercap/etter.dns

به عنوان مثال، تغییر مسیر درخواست ها به google.comبه آدرس محلی 192.168.1.34 .

ettercap -Tq -i wlan0-پ dns_spoof-م arp :از راه دور // 192.168.1.1 // // 192.168.1.44 //

همچنین می توانید افزونه dns_spoof را پس از راه اندازی ettercap فعال کنید. نحوه انجام این کار توسط منوی ettercap نمایش داده می شود که با فشار دادن کلید h در حین اجرای برنامه قابل مشاهده است.
اگر سعی کنید از دستگاه وارد شوید google.comسپس خروجی به صورت زیر خواهد بود:

dns_spoof: جعل شده به

پاسخ‌ها به درخواست google.com طبق قوانین جایگزین می‌شوند، در حالی که بقیه بدون تغییر بازگردانده می‌شوند.

از این نوع حمله می توان برای هدایت مهاجم به صفحه ای با کد مخرب (Metasploit Browser Autopwn) برای نفوذ بیشتر استفاده کرد.

کلاه بهتر
Bettercap به طور مشابه کار می کند، آدرس IP هدف (-T) اختیاری است:

محتوای فایل که قوانین جایگزینی را توضیح می دهد، در قالب عبارات منظم توضیح داده شده است. مثلا

tcpdump -i رابط-w فایل برای نوشتن

برای ضبط فقط ترافیک رهگیری شده، باید از یک فیلتر IP استفاده کنید (در صورت لزوم، پورت پورت را اضافه کنید):

Ettercap ابزاری برای تجزیه و تحلیل ترافیک شبکه است که از طریق یک رابط کامپیوتری عبور می کند، اما با عملکرد اضافی. این برنامه به شما این امکان را می دهد که حملات Man-in-the-Middle را انجام دهید تا رایانه دیگری را مجبور کنید که بسته ها را نه به روتر، بلکه برای شما ارسال کند.

با Ettercap می توانید امنیت شبکه خود را بررسی کنید، میزان آسیب پذیری آن در برابر این نوع حملات را بررسی کنید، همچنین ترافیک چندین رایانه را تجزیه و تحلیل کنید و حتی آن را در لحظه تغییر دهید. در این مقاله به نحوه استفاده از Ettercap برای تجزیه و تحلیل و اصلاح ترافیک می پردازیم.

به طور پیش فرض، کامپیوتر تمام بسته های شبکه را که باید به اینترنت ارسال شود، به روتر می فرستد، که به نوبه خود، آنها را به روتر بعدی ارسال می کند تا بسته به مقصد برسد. اما به دلایل خاصی، بسته ممکن است به روتر منتقل نشود، بلکه بلافاصله به رایانه شما و تنها پس از آن به روتر منتقل شود.

رایانه ای که بسته ها از طریق آن عبور می کنند می تواند منبع، آدرس مقصد و اگر رمزگذاری نشده باشند، محتوای کامل آنها را تجزیه و تحلیل کند.

دو روش برای انجام MITM (Man In Middle Attack) وجود دارد:

• حمله ARP - با استفاده از ویژگی های پروتکل ARP، رایانه شما به دیگران می گوید که یک روتر است، پس از آن همه بسته ها شروع به افراط در آن می کنند.
• حمله DNS - هنگامی که یک کامپیوتر سعی می کند یک آدرس IP برای یک دامنه دریافت کند، ما این آدرس را با آدرس خود جایگزین می کنیم، اما برای اینکه این نوع کار کند، باید از روش ARP استفاده کنید.

برنامه لینوکس Ettercap قادر است هر دو نوع حمله را انجام دهد. علاوه بر این، ابزار می تواند حملات انکار سرویس و اسکن پورت را انجام دهد. حال بیایید نگاهی به نحوه نصب و استفاده Ettercap بیندازیم.

این یک برنامه نسبتاً محبوب در بین متخصصان امنیت شبکه است، بنابراین در مخازن رسمی اکثر توزیع ها قرار دارد. به عنوان مثال، برای نصب Ettercap در اوبونتو اجرا کنید:

$ sudo apt نصب ettercap-gtk

در فدورا یا سایر توزیع های مبتنی بر آن، دستور چیزی شبیه به این خواهد بود:

$ sudo yum ettercap-gtk را نصب کنید

ما با وظیفه نحوه نصب لینوکس Ettercap کنار آمدیم، اما قبل از استفاده از آن، باید چند تنظیمات را در فایل پیکربندی تغییر دهیم.

$ sudo vi /etc/ettercap/etter.conf

رشته های ec_uid و ec_gid باید روی 0 تنظیم شوند تا سرویس برنامه به عنوان superuser اجرا شود:

ec_uid = 0 # nobody پیش فرض است
ec_gid = 0 # nobody پیش فرض است

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

در صورت امکان از آنها برای تغییر مسیر اتصالات SSL به HTTP معمولی استفاده می شود. سپس تغییرات را ذخیره کنید و برنامه آماده کار است.

این برنامه می تواند در چندین حالت کار کند - با یک رابط گرافیکی، بدون و به عنوان یک سرویس. ما کار را در رابط گرافیکی در نظر خواهیم گرفت. برای اجرای یک برنامه با رابط GTK، از گزینه -G استفاده کنید:

$ sudo -E ettercap -G

همانطور که گفتم، با این حمله می توانیم کامپیوتر مورد نظر را مجبور کنیم که بسته ها را نه برای روتر، بلکه برای ما ارسال کند. همه چیز به سادگی کار می کند. کامپیوتر IP روتر را می داند، زمانی که به شبکه متصل شد آن را دریافت کرد. اما هر بار که نیاز به ارسال یک بسته دارد، باید این آدرس IP عمومی را به آدرس سطح پایین فناوری شبکه مورد استفاده ترجمه کند، به عنوان مثال، برای اینترنت سیمی، این آدرس MAC است.

برای این کار از پروتکل ARP استفاده می شود. رایانه درخواستی را به تمام دستگاه های موجود در شبکه ارسال می کند، به عنوان مثال "who is 192.168.1.1" و روتر با دیدن آدرس آن، MAC خود را در پاسخ ارسال می کند. سپس در حافظه پنهان ذخیره می شود. اما می‌توانیم از Ettercap استفاده کنیم تا از رایانه مورد نظر بخواهیم حافظه پنهان ARP خود را به‌روزرسانی کند و به جای آدرس MAC روتر، آدرس MAC خود را به آن منتقل کند. سپس تمام بسته ها برای ما ارسال می شود و در صورت لزوم آنها را ارسال می کنیم.

بیایید دست به کار شویم و یک حمله attercap arp spofing انجام دهیم. در Ettercap، منوی Sniff را باز کرده و Unified Snifing را انتخاب کنید. سپس رابط شبکه خود را انتخاب کنید، برای مثال eth0 یا wlan0:

پنجره برنامه تغییر خواهد کرد و توابع بسیار بیشتری در دسترس ما خواهد بود. اکنون باید شبکه را اسکن کنید. برای این کار منوی Hosts را باز کرده و روی Scan hosts کلیک کنید. حتی اگر چیزی کار نمی کند، می توانید لیست میزبان ها را از یک فایل بارگیری کنید:

برای شروع حمله باید هدف 1 و هدف 2 را مشخص کنیم. به عنوان اولین هدف باید ip ماشینی که قصد حمله به آن را داریم و به عنوان هدف 2 - ip روتر را مشخص کنیم. برای افزودن اهداف، از دکمه های افزودن هدف 1 و افزودن تراژت 2 استفاده کنید:

در پنجره ای که باز می شود، مورد Sniff remote connections را بررسی کنید تا تمام اتصالات راه دور از این رایانه را رهگیری کند:

اکنون برای شروع فرآیند جعل، Start Sniffing را از منوی Start انتخاب کنید.

پس از آن، برنامه شروع به ارسال بسته ها به شبکه می کند و از 192.168.1.3 درخواست می کند تا کش ARP را به روز کند و آدرس MAC روتر را با آدرس شما جایگزین کند. حمله راه اندازی شده و با موفقیت اجرا می شود. می توانید منوی View -> Connections را باز کنید و اتصالات فعال دستگاه مورد نظر را مشاهده کنید:

اگر بسته رمزگذاری نشده بود، می توانیم با کلیک روی اتصال با ماوس، اطلاعات ارسال شده را مشاهده کنیم. اطلاعات ارسال شده در سمت چپ و اطلاعات دریافتی در سمت راست نمایش داده می شوند:

یک سرویس ویژه، DNS، برای تبدیل نام سایت ها به آدرس های IP شبکه استفاده می شود. زمانی که کامپیوتر به آی پی یک سایت نیاز دارد، آن را از سرور DNS درخواست می کند. اما اگر در حال انجام یک حمله MITM هستید، ما می توانیم پاسخ سرور را جایگزین کنیم تا IP ما به جای IP سرور سایت برگردانده شود. ابتدا باید فایل /etc/ettercap/etter.dns را ویرایش کنیم:

$ sudo vi /etc/ettercap/etter.dns

google.com.ua A 127.0.0.1

این ورودی به این معنی است که ما IP اصلی google.com.ua را به 127.0.0.1 تغییر می دهیم. توجه داشته باشید که این حمله بدون حمله قبلی انجام نمی شود. بعد، منوی Plugins -> Manage Plugins را باز کنید:

سپس بر روی افزونه dns_spoof دوبار کلیک کنید:

افزونه فعال می شود و می توانید ip موجود در دستگاه را بررسی کنید. DNS واقعاً در حال تعویض است. به عنوان مثال، می توانید بر روی ماشین مورد نظر اجرا کنید:

$ ping google.com.ua

$ پینگ www.ettercap.org

علاوه بر این افزونه ها، پلاگین های دیگری نیز وجود دارند که می توانید با آنها اقدامات مورد نظر را انجام دهید.

فیلترها به شما امکان می دهند بسته های ارسال شده از طریق برنامه را در لحظه تغییر دهید. می‌توانید بسته‌ها را دور بیندازید یا با استفاده از تابع جایگزین، تغییرات لازم را در آنها ایجاد کنید. همچنین فیلترها فقط در زمانی که حمله MITM در حال اجرا است کار می کنند. نحو شرایطی که بسته ها را فیلتر می کنیم بسیار شبیه به wireshark است. بیایید به یک فیلتر ساده نگاه کنیم که همه تصاویر را با فیلتر ما جایگزین می کند:

$ vi test.filter

اگر (ip.proto == TCP && tcp.dst == 80) (
if (جستجو (DATA.data، "Accept-Encoding")) (
جایگزین ("Accept-Encoding"، "Accept-Rubbish!");
# توجه: رشته جایگزین طول رشته اصلی است
msg("Accept-Encoding zapped!\n");
}
}
اگر (ip.proto == TCP && tcp.src == 80) (
جایگزین ("img src="/، "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
جایگزین ("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("اجرای فیلتر.\n");
}

برای کسانی که با زبان های برنامه نویسی تجربه داشتند، اینجا همه چیز باید روشن باشد. اگر پروتکل TCP و پورت مقصد 80 باشد، ما همچنان به دنبال Accept-Encoding می گردیم. سپس این کلمه را با هر کلمه دیگری، اما از نظر طولی معادل جایگزین می کنیم. زیرا اگر مرورگر Accept-Encoding gzip را ارسال کند، داده ها فشرده می شوند و ما چیزی را در آنجا فیلتر نمی کنیم. علاوه بر این، در پاسخ سرور، پورت منبع 80، همه تصاویر را با تصویر خود جایگزین می کنیم. اکنون فیلتر باید کامپایل شود:

$ etterfilter test.filter -o test.ef

باقی مانده است که فیلتر را با استفاده از منوی Filters -> Load Filter بارگیری کنید:

یک فایل فیلتر را در سیستم فایل انتخاب کنید:

فیلتر بارگذاری می شود و می توانید هر سایتی را که از https استفاده نمی کند باز کنید تا مطمئن شوید همه چیز کار می کند. برای توقف حمله MITM، منوی MITM را باز کرده و Stop All Mitm attacks را انتخاب کنید. راهنمای Ettercap ما رو به پایان است، اما...

احتمالا پس از مطالعه مقاله، این سوال منطقی برای شما پیش آمده است که چگونه کامپیوتر خود را از این نوع حملات محافظت کنیم؟ چندین ابزار برای این کار وجود دارد، از جمله برای سیستم عامل لینوکس:

• XArp یک ابزار گرافیکی است که می‌تواند تلاش‌های جعل آدرس MAC را با استفاده از پروتکل ARP شناسایی کرده و با آن مقابله کند. می تواند در ویندوز و لینوکس کار کند.
• Snort یک سیستم پیشگیری از نفوذ نسبتاً شناخته شده است، از جمله مواردی که حملات به پروتکل ARP را شناسایی می کند.
• ArpON یک سرویس کوچک است که جدول ARP را نظارت می کند و از جعل آدرس MAC محافظت می کند.

از برنامه فقط برای تست امنیت شبکه ها یا اپلیکیشن های خود استفاده کنید و فراموش نکنید که اقدامات غیرقانونی در فضای اطلاعات نیز مجازات دارد.

در پایان ویدیو با نمایش برنامه:

شما باید ثبت نام کنید،
به منظور گذاشتن نظر

جایگزین های Ettercap

Ettercap محبوب ترین برنامه حمله انسان در وسط است، اما آیا بهترین است؟ در کل کتابچه راهنمای کاربر، خواهید دید که Ettercap تقریباً هرگز به تنهایی استفاده نمی شود، این یا آن برنامه همیشه با آن در زنجیره پردازش ترافیک ردیف شده است. شاید این به انعطاف‌پذیری اضافه کند، به طور کلی، این رویکرد در قلب یونیکس قرار دارد - یک برنامه یک کار را انجام می‌دهد و کاربر نهایی برنامه‌های مختلف را برای رسیدن به نتیجه دلخواه ترکیب می‌کند. با این رویکرد، حفظ کد برنامه آسان تر است؛ از چنین "آجرهای" مینیاتوری می توان برای ساختن سیستمی با هر پیچیدگی و انعطاف پذیری استفاده کرد. با این وجود، داشتن پنج کنسول باز با وظایف مختلف، که هدف برنامه‌های آن دستیابی به یک نتیجه واحد است، خیلی راحت نیست، فقط مشکل‌تر است، در مرحله‌ای احتمال اشتباه وجود دارد و کل سیستم پیکربندی شده بیکار اجرا خواهد شد

Net-Creds بو می کند:

• URL های بازدید شده
• درخواست های POST را ارسال کرد
• ورود به سیستم / رمز عبور از فرم های HTTP
• ورود به سیستم / رمز عبور برای احراز هویت اولیه HTTP
• جستجوهای HTTP
• ورود به سیستم / رمز عبور FTP
• ورود به سیستم / رمز عبور IRC
• ورود به سیستم / رمز عبور POP
• ورود به سیستم / رمز عبور IMAP
• ورود به شبکه راه دور / رمز عبور
• ورود به سیستم / رمز عبور SMTP
• رشته جامعه SNMP
• همه پروتکل های NTLMv1/v2 مانند HTTP، SMB، LDAP و غیره پشتیبانی می شوند.
• کربروس

انتخاب خوبی از تصاویر رهگیری شده، و شبکه دریفت از این نظر ساده تر است - فقط تصاویر رهگیری شده را نشان می دهد.

دستگاه خود را به حالت حمل و نقل تغییر دهید.

echo "1" > /proc/sys/net/ipv4/ip_forward

Ettercap را با رابط کاربری گرافیکی (-G) اجرا کنید:

Ettercap-G

اکنون Hosts را انتخاب کنید، در زیر مورد آن Scan for hosts. پس از اتمام اسکن، لیست میزبان ها را انتخاب کنید:

به عنوان Target1، روتر را انتخاب کنید (Add to Target 1)، به عنوان Target2، دستگاهی را که به آن حمله خواهید کرد (Add to Target 2) را انتخاب کنید.

اما در اینجا ممکن است اولین مشکل ایجاد شود، به خصوص اگر میزبان های زیادی وجود داشته باشد. در دستورالعمل‌های مختلف، از جمله ویدیوی ارائه شده در بالا، نویسندگان به دستگاه مورد نظر می‌روند (به دلایلی همه ویندوز در آنجا دارند) و از دستور نگاه کردن به IP این دستگاه در شبکه محلی استفاده می‌کنند. موافقم، این گزینه برای شرایط واقعی غیرقابل قبول است.

اگر با اسکن کنید، می توانید اطلاعات بیشتری در مورد هاست، به طور دقیق تر، در مورد سازنده کارت شبکه دریافت کنید:

nmap -sn 192.168.1.0/24

اگر داده ها هنوز کافی نیست، می توانید یک اسکن با تعریف سیستم عامل انجام دهید:

nmap -O 192.168.1.0/24

همانطور که می بینید، دستگاه با IP 192.168.1.33 معلوم شد که ویندوز است، اگر این علامت از بالا نیست، پس چیست؟ 😉 لول

این چیزی است که ما به عنوان هدف دوم اضافه می کنیم.

حالا به منوی Mitm بروید. در آنجا ARP Poisoning را انتخاب کنید... چک باکس Sniff remote connections را علامت بزنید.

ما برداشت را شروع می کنیم، در یک پنجره راه اندازی می کنیم

اعتبارات خالص

در دیگری (هر دو برنامه را می توان بدون گزینه اجرا کرد)

شبکه دریفت

جمع آوری داده ها بلافاصله آغاز شد.

در سمت راست، driftnet پنجره دیگری را باز کرده است که تصاویر گرفته شده را نشان می دهد. در پنجره net-creds، سایت های بازدید شده و رمزهای عبور رهگیری شده را می بینیم:

در منوی View، زبانه های Connections و Profiles در دسترس ما هستند. همچنین می توانید کادر Resolve IP addresses را علامت بزنید. اتصالات، البته، اتصالات هستند. Ettercap پروفایل های درون حافظه را برای هر میزبانی که کشف می کند جمع آوری می کند. کاربران و رمزهای عبور در آنجا جمع آوری می شوند. در این حالت، نمایه‌هایی با داده‌های حساب گرفته شده (گذرواژه) با علامت ضربدر مشخص می‌شوند:

بیش از حد به نمایه ها اعتماد نکنید - به عنوان مثال، ورود به سیستم و گذرواژه های رهگیری شده برای FTP و سایر خدمات مشخص شده است، که برنامه می تواند اطلاعات دریافت شده را به طور واضح به عنوان اعتبار تفسیر کند. این شامل، برای مثال، داده های اصلی احراز هویت، ورود به سیستم و رمزهای عبور وارد شده در فرم های وب نمی شود.

در Connections، امیدوار کننده ترین داده ها با یک ستاره مشخص می شوند:

برای مشاهده جزئیات می توانید روی این ورودی ها دوبار کلیک کنید:

برای اینکه این ستاره ها را در کل لیست جستجو نکنید، می توانید بر اساس این قسمت مرتب کنید و همه آنها در بالا یا پایین قرار می گیرند:

احراز هویت اولیه کشف شده:

ورود-گذرواژه برای Yandex (در زیر برجسته شده است):

اینها اعتبارنامه های رهگیری شده برای Vkontakte هستند:

همچنین، جالب ترین داده ها در کنسول پایینی جمع آوری شده است:

اگر می خواهید نتایج برنامه را ذخیره کنید، از این گزینه ها استفاده کنید (کلیدها را هنگام شروع Ettercap مشخص کنید:

گزینه های ثبت: -w، --نوشتن نوشتن داده های ضبط شده در pcapfile -L، --log نوشتن تمام ترافیک در این -l، --log-info فقط اطلاعات غیرفعال را در این -m بنویسد، --log-msg نوشتن همه پیام ها برای این -c، --compress از فشرده سازی gzip برای فایل های گزارش استفاده کنید

توجه: در تمام تست های من، فیلترهای Ettercap کار نکردند. درک این موضوع سخت است که آیا در دست است، در ویژگی های سخت افزاری یا در یک باگ در خود برنامه ... اما برای نسخه 0.8.2 (آخرین در حال حاضر)، یک گزارش اشکال در مورد مشکلات فیلترها وجود دارد. به طور کلی، با قضاوت بر اساس گزارش های اشکال و انجمن ها، فیلترها یا اغلب از بین می روند یا برای مدت طولانی اصلاً کار نمی کنند. یک شعبه وجود دارد که 5 ماه پیش اصلاح شد https://github.com/Ettercap/ettercap/tree/filter-improvements، یعنی. بهبود فیلتر (با بهبود فیلتر). تست های بسیار متنوعی برای این شاخه انجام شد و برای نسخه از مخزن، فیلترهای مختلف در شرایط مختلف تست شدند، زمان زیادی صرف شد، اما نتیجه ای حاصل نشد. به هر حال، برای نصب نسخه بهبود فیلتر در کالی لینوکس، باید این کار را انجام دهید:

sudo apt-get حذف ettercap-گرافیک ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses1 libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git سی دی ettercap/ mkbuildABCSap cd_ENC =روشن ../ make sudo make install

به طور کلی، اگر فیلترهای شما کار نمی کنند، پس شما تنها نیستید. در دستورالعمل Ettercap، من نمی توانم از مبحث فیلترها بگذرم، بنابراین به هر حال آنها در نظر گرفته می شوند.

تاکنون از Ettercap برای جعل ARP استفاده کرده ایم. این یک برنامه بسیار سطحی است. به لطف فیلترهای سفارشی، می‌توانیم مداخله کنیم و ترافیک را در لحظه تغییر دهیم. فیلترها باید در فایل های جداگانه قرار داشته باشند و قبل از استفاده باید با برنامه Etterfilter کامپایل شوند. اگرچه به نظر می رسد اسنادی که پیوند داده شده کوتاه است، اما همراه با مثال های زیر، به شما امکان می دهد فیلترهای بسیار جالبی بنویسید.

بیایید اولین فیلتر خود را ایجاد کنیم، همه تصاویر را با این جایگزین می کند:

در فایلی به نام img_replacer.filter کپی کنید:

If (ip.proto == TCP && tcp.dst == 80) ( if (جستجو (DATA.data، "Accept-Encoding")) ( جایگزین ("Accept-Encoding"، "Accept-Rubbish!")؛ # توجه داشته باشید: رشته جایگزین به اندازه msg اصلی است ("Zaped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) (place("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" ")؛ replace("src ="، "src=\"http://www.irongeek.com/images/jollypwn.png\" ")؛ replace("SRC="، "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Ran.\n"); )

کامپایل فایل:

Etterfilter img_replacer.filter -o img_replacer.ef

نتایج تالیف:

Etterfilter 0.8.2 حق چاپ 2001-2015 تیم توسعه Ettercap 14 جدول پروتکل بارگیری شد: داده های رمزگشایی شده udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 ثابت بارگیری شده: VRRP OSPF GRE UPPPEMP6 منبع فایل "img_replacer.filter" انجام شد. باز کردن متا درخت انجام شد. تبدیل برچسب ها به افست واقعی انجام شد. خروجی نوشتن در "img_replacer.ef" انجام شد. -> اسکریپت به 18 دستورالعمل کدگذاری شده است.

سوئیچ -F به برنامه می گوید که فیلتر را از فایلی که سوئیچ را دنبال می کند بارگذاری کند. پس از کامپایل، نام فایل جدید ما با فیلتر img_replacer.ef است، بنابراین دستور به صورت زیر در می‌آید:

Ettercap -G -F img_replacer.ef

توجه: وقتی ترافیک وب را نظارت می کنید، بسته هایی که می بینید ممکن است به صورت رمزگذاری شده باشند. برای اینکه فیلترها به طور موثر کار کنند، Ettercap به ترافیک متن ساده نیاز دارد. با توجه به برخی مشاهدات، نوع رمزگذاری که صفحات وب استفاده می کنند "Accept-Encoding: gzip, deflate" است.

در زیر فیلتری وجود دارد که رمزگذاری را بازنویسی می کند و ارتباط را به شکل متن ساده مجبور می کند:

If (ip.proto == TCP && tcp.dst == 80) ( if (جستجو (DATA.data، "gzip")) ( جایگزین ("gzip"، " ")؛ # توجه: چهار فاصله در رشته پیام به جایگزین ("whited out gzip\n")؛ ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (جستجو(DATA.data، "deflate")) ( جایگزین ("deflate", ""); # نکته: هفت فاصله در رشته جایگزینی msg("سفید شد\n"); ) )

نحو برای نوشتن فیلترها به تفصیل توضیح داده شده است و سپس چند مثال دیگر:

# جایگزینی متن در بسته: if (ip.proto == TCP && search(DATA.data، "lol"))( جایگزین ("lol"، "smh"); msg ("filter ran")؛ ) # نمایش پیام اگر پورت tcp 22 باشد if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) (msg("SSH packet\n"); ) ) # ثبت تمام ترافیک شبکه راه دور ، همچنین ./برنامه را برای هر بسته اجرا کنید if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) (log(DATA.data, "./logfile.log") ; exec("./program"); ​​) ) # ثبت تمام ترافیک به جز http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) (log(DATA.data, "./logfile.log"); ) # برخی عملیات بارگذاری بسته اگر (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) other ( DATA.data = "تغییر شده"؛ DATA .data + 20 = 0x4445; ) # همه بسته های حاوی "ettercap" را رها کنید if (search(DECODED.data, "ettercap")) (msg("some one is about us...\n"); drop( ); kill( ) ) # بنویسید بسته های ssh رمزگشایی شده مطابق regex if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) (log(DECODED.data, "./decrypted_log"); ) ) ) #کشتن بسته ها if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

ما Ettercap و Burp را همانطور که در پاراگراف 1.2 یا در بند 2.2 توضیح داده شده راه اندازی می کنیم.

در Burp به Proxy -> Options بروید. ما Match and Replace را در آنجا پیدا می کنیم. برای افزودن یک قانون جدید روی Add کلیک کنید.

• هدر درخواست هدر درخواست است
• بدن درخواست - بدن درخواست
• هدر پاسخ - سرصفحه پاسخ
• بدن پاسخ - بدن پاسخ
• درخواست نام پارامتر - درخواست نام پارامتر
• درخواست مقدار پارامتر - درخواست مقدار پارامتر
• درخواست خط اول - خط اول درخواست

اگر نیاز به تغییر داده های ارسال شده با روش GET دارید، این امر در مورد سرصفحه ها اعمال می شود.

در نشانه گذاری HTML چیزی به نام head (تگ head) نیز وجود دارد. موارد ذکر شده در بالا ربطی به این عنوان ندارند. کمی بالاتر در مورد هدر بسته ها گفته می شود. اگر می خواهید محتوای صفحه HTML را تغییر دهید، باید همیشه به جای Request header، Response body را انتخاب کنید، حتی اگر می خواهید محتوای تگ head (مثلا عنوان) را تغییر دهید.

اگر با عبارات منظم آشنا نیستید، در اصل، اشکالی ندارد: HTML چیزهای زیادی را می بخشد، و آنچه را که نمی فهمد، به سادگی نادیده می گیرد - می توانید از آن استفاده کنید. اگر می دانید چگونه از عبارات منظم استفاده کنید، پس من به شما احترام می گذارم.)))

به عنوان مثال، اجازه دهید یک قانون جدید ایجاد کنیم، هدر Request را به بدنه پاسخ تغییر دهید. در خود قانون ما تغییر خواهیم کرد

.*

بدون عنوان

کادر مربوط به Regex match را علامت بزنید.

اکنون در همه سایت ها (بدون HTTPS) به جای عنوان، بدون عنوان وجود خواهد داشت:

یک خط دلخواه بعد از تگ بدنه وارد کنید (این اولین خط در متن خواهد بود). هدر درخواست به بدنه پاسخ تغییر کرده است. ما تغییر می کنیم

کادر مربوط به Regex match را علامت بزنید.

در گوشه سمت راست بالا (بسته به طرح) کتیبه "من باحالم!" ظاهر می شود. می‌توانید CSS، کد جاوا اسکریپت، هر متنی را وارد کنید. شما به طور کلی می توانید همه چیز را از صفحه حذف کنید، و سپس آن را با محتوای خود پر کنید - همه چیز به تخیل شما بستگی دارد.

ایده ای وجود داشت که هر فرم را کمی تغییر دهیم تا داده ها به سرور اصلی و سرور مهاجم ارسال شود (پیاده سازی چند ارسال برای هر فرم). اما با این استدلال که اگر داده های ارسال شده رمزگذاری نشده باشند و ما به آن دسترسی داشته باشیم، به هر حال آن را می بینیم، نیازی به ارسال آن به هیچ سروری نداریم. با این وجود، اگر کسی به آن نیاز داشته باشد، یک نمونه واقعا کارآمد از ارسال داده از یک فرم به چندین سرور در یک زمان است.

برای شروع استفاده از ویژگی های BeEF، باید یک فایل جاوا اسکریپت را در HTML جاسازی کنیم، معمولاً یک خط مانند:

دو روش بعدی فقط در روش تعبیه این رشته متفاوت است.

[بخش بعدا آماده می شود]

شما باید دقیقاً همانطور که در پاراگراف 4.2 نوشته شده است شروع کنید. اما به جای جایگزینی هدرها و اضافه کردن متن به سایت، کد جاوا اسکریپت را به صورت رشته ای تزریق می کنیم:

در مورد من، این فایل با IP 192.168.1.36 در پورت 3000 موجود است. نام فایل hook.js است (می توانید آن را در تنظیمات تغییر دهید). آن ها در مورد من، من باید خط را تزریق کنم:

این کار را می توان انجام داد، به عنوان مثال، با ایجاد یک قانون جدید، هدر Request را به بدنه پاسخ تغییر دهید. در خود کد HTML باید جایگزینی وجود داشته باشد

عالی است، وقتی سایتی را باز می کنید که HTTPS ندارد، یک کد جاوا اسکریپت در کد HTML درج می شود که به شما امکان می دهد اطلاعات را از طریق یک مرورگر قلاب شده جمع آوری کنید و حملات مختلفی را انجام دهید:

شما می توانید فایل های اجرایی را هم با کمک فیلترهای Ettercap [که به دلایلی مدت زیادی است کار نمی کنند] و هم با کمک برنامه های شخص ثالث جایگزین و آلوده کنید. به عنوان مثال، BDFProxy می تواند این کار را در پرواز انجام دهد. متأسفانه، BDFProxy هنوز قادر به بازیابی از آپدیت Backdoor Factory آوریل (در سال 2016) نیست: در پایتون، بسته libmproxy به mitmproxy تغییر نام داده است. برای BDFProxy، بسته libmproxy یک وابستگی ضروری است؛ برنامه بدون این بسته اجرا نخواهد شد. بنابراین، اکنون، قبل از "تعمیر" BDFProxy، نمی توان از آن استفاده کرد، زیرا حتی با نصب Backdoor Factory، برنامه BDFProxy از کمبود کتابخانه libmproxy شکایت دارد ...

عملیات مشابهی را می توان با Burp Suite انجام داد. الگوریتم گام به گام ارائه شده است، بازنویسی مجدد آن در این بخش منطقی نیست.

اطلاعات مربوط به پلاگین های Ettercap را می توان یافت. تعداد زیادی پلاگین وجود دارد، آنهایی که در زیر توضیح داده شده اند برای من جالب ترین هستند.

هنگام راه اندازی Ettercap می توان پلاگین ها را متصل کرد، برای این گزینه گزینه ای وجود دارد:

P, --plugin این را اجرا کنید

افزونه ها را می توان از رابط کاربری گرافیکی نیز بارگیری کرد:

[مواد در حال آماده سازی]

با نظارت منفعلانه درخواست ها/پاسخ های ARP، فعالیت های مشکوک ARP را گزارش می کند. ممکن است تلاش‌های مسمومیت ARP یا تضادهای ساده IP یا تغییرات IP را گزارش کند. اگر در حال ساخت یک لیست اولیه از هاست هستید، افزونه با دقت بیشتری کار می کند.

Ettercap -TQP arp_cop //

نمونه ای از تشخیص تقلب واقعی ARP:

بسط دادن

[ایمیل محافظت شده]~ $ sudo ettercap -TQP arp_cop // رمز عبور برای mial: ettercap 0.8.2 حق چاپ 2001-2015 تیم توسعه Ettercap در حال گوش دادن در: eth0 -> 08:00:27:A3:08:4A 192.168.1.325.5. :a00:27ff:fea3:84a/64 کالبد شکافی SSL به یک اسکریپت معتبر "redir_command_on" در فایل etter.conf نیاز دارد. امتیازات به EUID 65534 EGID 65534 کاهش یافته است... 33 پلاگین 42 جداکننده پروتکل 57 پورت 57 پورت 3 اثر انگشت t106 ma26 اثر انگشت 2182 سرویس شناخته شده تصادفی کردن 255 هاست برای اسکن... اسکن کل نقاب شبکه برای 255 میزبان... * |========================= =======================>

[ایمیل محافظت شده] ~ $ sudo ettercap -TQP arp_cop // رمز عبور برای mial: ettercap 0.8.2 حق چاپ 2001-2015 تیم توسعه Ettercap در حال گوش دادن در: eth0 -> 08:00:27:A3:08:4A 192.168.1.325.5. :a00:27ff:fea3:84a/64 کالبد شکافی SSL به یک اسکریپت معتبر "redir_command_on" در فایل etter.conf نیاز دارد. امتیازات به EUID 65534 EGID 65534 کاهش یافته است... 33 پلاگین 42 جداکننده پروتکل 57 پورت 57 پورت 3 اثر انگشت t106 ma26 اثر انگشت 2182 سرویس شناخته شده تصادفی کردن 255 هاست برای اسکن... اسکن کل نقاب شبکه برای 255 میزبان... * |========================= =======================>| 100.00 % 3 هاست به لیست میزبان اضافه شد... شروع sniffing یکپارچه... فقط متن رابط فعال شد... برای کمک درون خطی "h" را بزنید فعال کردن پلاگین arp_cop... arp_cop: افزونه در حال اجرا... arp_cop: (میزبان جدید ) 192.168.1.1 arp_cop: (WARNING) 192.168.1.35 وانمود می کند که 192.168.1.1 arp_cop: (WARNING) 192.168.1.35 وانمود می کند که 192.168.1.1.35 است 192.168.1.1.1. وانمود می کند که 192.168.1.1 arp_cop: (اخطار ) 192.168.1.35 وانمود می کند که 192.168.1.1 arp_cop: (اخطار) 192.168.1.35 وانمود می کند که 192.168 .1.1 arp_cop: (WARNING) 192.169.161p وانمود می کند. ARNING) 192.168.1.35 وانمود می کند که 192.168 است .1.1 arp_cop: (WARNING) 192.168.1.35 تظاهر به 192.168 می کند. 1.1 arp_cop: (اخطار) 192.168 .1.35 تظاهر می کند 192.168.1.1. 192.168.1.1 arp_cop. .168.1.1 arp_cop: (هشدار) 192.168 .1.35 وانمود می کند که 192.168.1.1 arp_cop: (اخطار) 192.168. 1.35 وانمود می کند که 192.168.1.1 arp_cop: (اخطار) 192.168.1.35 192.168.1.35 192.168.1.35 arp.1.35. 168.1.35 وانمود می کند که 192.168.1.1 است p_cop: (WARNING) 192.168.1.35 وانمود می کند که 192.168.1.1 arp_cop: (اخطار) 192.168.1.35 وانمود می کند که 192.168.1.1 arp_cop: (WARNING.31. arp_cop: (هشدار) 192.168.1.35 وانمود می کند که 192.168.1.1 arp_cop: (WARNING) 192.168.1.35 وانمود می کند که 192.168.1.1 arp_cop: (WARNING) RNING) 192.168.1.35 192.168.1.35 (هشدار) 192.168.1.1. .1.35 وانمود می کند که 192.168.1.1 است arp_cop: (هشدار) 192.168.1.35 وانمود می کند که 192.168 است. 1.1 arp_cop: (WARNING) 192.168.1.35 وانمود می کند که 192.168.1.1 arp_cop: (اخطار) 192.168.1.35 وانمود می کند که 192.168.1.1 .1 arp_cop1.1 .1 arp_cop.1. 2.168.1.1 arp_cop: (هشدار) 192.168.1.35 تظاهر به 192.168.1.1 arp_cop: (اخطار) 192.168.1.35 تظاهر به 192.168.1.1 arp_cop: (WARNING) 192.168.1 AR 192.168.1 تا 0.31p NING) 192.168.1.35 وانمود می کند که هست 192.168.1.1. 192.168.1.1 arp_cop: (هشدار) 192.168 .1.35 وانمود می کند که 192.168.1.1 arp_cop: (هشدار) 192.168.1.35 وانمود می کند که 192.168.1.1 ... .........................

این به طور خودکار قربانیان جدید را هنگام اتصال به mitm poisoning ARP اضافه می کند. به دنبال درخواست‌های ARP در شبکه محلی می‌گردد و در صورت یافتن، اگر لیست به عنوان TARGET مشخص شده باشد، افزونه میزبان را به لیست قربانیان اضافه می‌کند. هاست زمانی اضافه می شود که یک درخواست arp از آن دیده شود.

بررسی می کند که آیا ماژول های poison arp در ettercap موفق هستند یا خیر. این بسته های جعلی پژواک ICMP را برای همه قربانیان مسمومیت ارسال می کند و وانمود می کند که هر یک از قربانیان هستند. می تواند یک پاسخ ICMP با آدرس MAC ما به عنوان مقصد دریافت کند، به این معنی که مسمومیت بین این دو هدف موفقیت آمیز است. هر دو مسیر هر اتصال را بررسی می کند.

این افزونه درخواست های DNS را قطع می کند و با یک پاسخ جعلی (جعلی) پاسخ می دهد. با ویرایش فایل etter.dns می توانید انتخاب کنید که افزونه به کدام آدرس پاسخ دهد. این افزونه درخواست های A، AAAA، PTR، MX، WINS، SRV و TXT را رهگیری می کند. اگر یک کوئری A بود، نام در فایل جستجو می‌شود و آدرس IP برگردانده می‌شود (می‌توانید از حروف عام در نام استفاده کنید).

همین امر در مورد درخواست های AAAA نیز صدق می کند.

یک افزونه بسیار ساده که به درخواست های ARP گوش می دهد تا تمام اهدافی را که میزبان می خواهد با آنها ارتباط برقرار کند را به شما نشان می دهد. همچنین می تواند به شما در یافتن آدرس در شبکه های محلی ناشناخته کمک کند.

ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

تلاش برای شناسایی بسته های ettercap ارسال شده در LAN. این می تواند برای شناسایی فردی که سعی در استفاده از ettercap دارد مفید باشد. 100٪ روی آن تکیه نکنید زیرا تست ها فقط برای دنباله ها/اعداد شناسه خاصی کار می کنند.

بررسی کنید که آیا کسی بین هر یک از میزبان های لیست و ما طعمه می گیرد یا خیر. ابتدا بررسی می کند که آیا دو هاست در لیست دارای مک آدرس یکسان هستند یا خیر. این می تواند به این معنی باشد که یکی از آنها با تظاهر به دیگری ما را مسموم می کند. می تواند بسیاری از موارد مثبت کاذب را در یک محیط arp پروکسی ایجاد کند. برای انجام این بررسی باید لیستی از هاست ها بسازید. پس از آن، بسته های icmp echo را برای هر میزبان موجود در لیست ارسال می کند و بررسی می کند که آیا آدرس مک مبدا پاسخ با آدرسی که در لیست با این IP ذخیره کرده ایم متفاوت است یا خیر. این می تواند به این معنی باشد که شخصی با تظاهر به داشتن آدرس IP ما و ارسال بسته های رهگیری شده به ما، این میزبان را مسموم می کند. شما نمی توانید این تست فعال را در حالت غیر تهاجمی (بی ضرر) اجرا کنید.

Ettercap -TQP scan_poisoner //

سعی می کند بفهمد که آیا کسی در حالت بی بند و باری در حال بو کردن (گوش دادن) است یا خیر. دو درخواست arp بد شکل متفاوت را به هر هدف در لیست میزبان ها ارسال می کند و منتظر پاسخ می ماند. اگر پاسخ از یک میزبان هدف گرفته شده باشد، کم و بیش احتمال دارد که آن هدف دارای کارت شبکه در حالت غیرقانونی باشد. می تواند آلارم های کاذب ایجاد کند. می توانید آن را از طریق خط فرمان یا از منوی افزونه ها اجرا کنید. از آنجایی که به پاسخ‌های arp گوش می‌دهد، بهتر است هنگام ارسال درخواست‌های arp از آنها استفاده نکنید.

ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

نمونه ای از حدس زدن موفقیت آمیز دو NIC در حالت غیرقانونی:

بسط دادن

[ایمیل محافظت شده]:~# ettercap -TQP search_promisc ettercap 0.8.2 کپی رایت 2001-2015 تیم توسعه Ettercap در حال گوش دادن در: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.2502aff:255.2505.25 :30b9/64 کالبد شکافی SSL به یک اسکریپت معتبر "redir_command_on" در فایل etter.conf نیاز دارد که ممکن است Ettercap به درستی کار نکند. /proc/sys/net/ipv6/conf/eth0/use_tempaddr روی 0 تنظیم نشده است. امتیازات به EUID 65534 EGID 65534 کاهش یافته است... 33 پلاگین 42 برش دهنده پروتکل 57 پورت نظارت شده 20388 mac فروشنده اثر انگشت خدمات 18 OS6 اثر انگشت Luc 17 OS6 شناخته شده : هیچ اسکریپتی مشخص نشده است، راه اندازی نشده است! تصادفی کردن 255 هاست برای اسکن... اسکن کل نت ماسک برای 255 هاست... * |============================= ====================>

[ایمیل محافظت شده]:~# ettercap -TQP search_promisc ettercap 0.8.2 کپی رایت 2001-2015 تیم توسعه Ettercap در حال گوش دادن در: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.2502aff:255.2505.25 :30b9/64 کالبد شکافی SSL به یک اسکریپت معتبر "redir_command_on" در فایل etter.conf نیاز دارد که ممکن است Ettercap به درستی کار نکند. /proc/sys/net/ipv6/conf/eth0/use_tempaddr روی 0 تنظیم نشده است. امتیازات به EUID 65534 EGID 65534 کاهش یافته است... 33 پلاگین 42 برش دهنده پروتکل 57 پورت نظارت شده 20388 mac فروشنده اثر انگشت خدمات 18 OS6 اثر انگشت Luc 17 OS6 شناخته شده : هیچ اسکریپتی مشخص نشده است، راه اندازی نشده است! تصادفی کردن 255 هاست برای اسکن... اسکن کل نت ماسک برای 255 هاست... * |============================= ===================>| 100.00 % 5 هاست به لیست میزبان ها اضافه شد... شروع sniffing یکپارچه... فقط متن رابط فعال شد... برای کمک درون خطی "h" را بزنید فعال کردن افزونه search_promisc... search_promisc: جستجوی NIC های promisc... احتمالا کمتر sniffing کارت های شبکه : - 192.168.1.36 - 192.168.1.34 به احتمال زیاد NIC های sniffing: - هیچکدام در حال بستن رابط متنی... پایان ettercap... پاکسازی Lua کامل شد! بوییدن یکپارچه متوقف شد.

در طول اجرای یک حمله SSL mitm، ettercap گواهی ssl واقعی را با گواهینامه خود جایگزین می کند. یک گواهی جعلی در پرواز ایجاد می شود و همه فیلدها مطابق گواهی واقعی ارائه شده توسط سرور پر می شوند.