当前位置:首页 » 《随便一记》 » 正文

kali的Ettercap(0.8.3.1)_姜小孩.的博客

5 人参与  2022年05月27日 14:50  分类 : 《随便一记》  评论

点击全文阅读


  • 前言:最近在学kali,学到了dns劫持,上的课老师也是讲了一部分功能,我在网上想找一下别的功能,却发现这个Ettercap居然是20年新版,并没有什么详细信息,我就心血来潮写这篇笔记,让自己以后在复习的时候可以更快的回顾,发出来也让大家一起进步。
  • 启动方法
    • kali的终端中输入ettercap -G
  • 启动界面

  • GUI界面

  • 中间人攻击选项

  • 其他选项
    • Targets

      • Current targets

      • Select targets

      • Protocol

      • Reverse matching

      • Wipe targets

    • host

    • View视图

      • connections显示主机数

      • Profiles显示主机信息

      • Statistics

      • 解析IP地址

      • Visualization method可视化方法

      • 可视化正则表达式

      • 设置WIFI密码

    • Filters

    • Logging日志信息

    • Plugins插件

      • 管理插件

        • arp_cop
          • 它通过被动的监测网络上活跃的arp请求与响应,尝试arp毒化,或简单的IP-conflicts或IP-changes。如果构建初始化主机列表插件将运行更准确。
          • 例如:ettercap -TQP arp_cop
        • autoadd自动在目标范围内添加新的受害者
          • 它会自动添加在中间人攻击时arp毒化的新的受害者。在局域网上它寻找arp请求,当检测到它将主机添加到列表中。
        • chk_poison检查中毒是否成功
          • 它检查看看ettercap的arp毒化是成功的。它发送一个欺骗的ICMP echo数据包给所有中毒的攻击者冒充其他目标的每一个。如果我们能抓到一个ICMP响应中带着我们MAC地址,这意味着这两个目标之间的中毒是成功的。如果你在静默模式下仅指定一个目标,测试失败。不能再命令行运行这个插件,因为中毒还没有开始,必须从菜单正确的启动它。
        • dns_spoof发送欺骗的DNS答复
          • 这个插件拦截DNS查询并回复一个欺骗的结果。你需要修改IP地址来回应这查询通过修改etter.dns文件。插件将拦截A,PTR和MX请求。如果它是一个A请求,返回IP地址。如果是一个PTR请求,在文件中搜索ip并且这域名被返回(除了那些通配符)。MX请求需要一个精心准备一个特别的应答。主机通过一个虚假的主机'mail.host'来解决并且额外的记录包含的ip地址。返回一个地址或域名来匹配。要小心这顺序。
        • dos_attack运行d.o.s.攻击IP地址
          • 这插件运行一个dos攻击来攻击受害者的IP地址。它首先“扫描”受害者来发现开放的端口,然后开始使用一个虚假的源IP地址来洪水攻击那些端口通过SYN包,然后使用虚假主机来拦截arp响应,当它接到来自受害者,SYN-ACK回复ack包创建一个建立连接。你必须使用一个免费的IP地址在你的子网创建虚假的主机IP地址(可以使用find_ip).不能运行这个插件在unoffensive模式。这个插件基于原始的Naptha DoS攻击。
          • 例如:ettercap -TQP dos_attack
        • dummy插件模板(面向开发人员)
        • find_conn在交换局于网上搜索连接
          • 非常简单的插件,监听所有主机arp请求。可以帮助自己找到在未知局域网的地址。
          • ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn
        • find_ettercap尝试查找ettercap活动
          • 尝试确定ettercap局域网数据包发送。它可能是有用的检测是否有人使用etercap
        • find_ip搜索子网中未使用的IP地址
          • 在目标列表中查找用户指定范围内的第一个未使用的IP地址。其他一些插件(如greu-relay)需要一个未使用的局域网IP地址来创建一个“假”主机。在没有dhcp服务器的未知LAN中获取IP地址也很有用。您可以使用find_conn确定LAN的IP地址,然后查找IP。你必须建立主机列表才能使用这个插件,这样你就不能在非恶意模式下使用它。如果您的接口没有IP地址,请提供一个伪造的IP地址(例如,如果LAN为192.168.0.0/24,请使用10.0.0.1以避免IP冲突),然后启动此插件,指定子网范围。您可以从命令行或适当的菜单运行它。
          • *比如
          • ettercap -TQP find_ip //
          • ettercap -TQP find_ip /192.168.0.1-254/
        • finger_submit指纹获取
          • 使用这个插件来提交指纹到ettercap网页。如果你发现一个未知的指纹,但你确定目标的操作系统,可以提交到ettercap的数据库中。
          • 例如:ettercap -TzP finger_submit.
        • gre_reply
          • 此插件可用于嗅探 GRE 重定向的远程流量。基本思想是创建一个 GRE 隧道,将路由器接口上的所有流量发送到 ettercap 机器。该插件将把 GRE 数据包发送回路由器,经过 ettercap“操作”(您可以在重定向流量上使用“活动”插件,例如 smb_down、ssh 解密、过滤器等)它需要一个“假”主机,其中流量必须重定向到(以避免内核的响应)。“假”IP 将是隧道端点。Gre_relay 插件将模拟“假”主机。要为“假”主机查找未使用的 IP 地址,您可以使用 find_ip 插件。基于 Anthony C. Zboralski 在http://www.phrack.org/show.php?p=56&a=10 上由 HERT发表的原始 Tunnelx 技术。
          • PS:目前我不太懂
        • gw_discover
          • 该插件通过尝试向远程主机发送 TCP SYN 数据包来发现 LAN 的网关。该数据包具有远程主机的目标 IP 和本地主机的目标 mac 地址。如果ettercap 收到SYN+ACK 数据包,则拥有回复源mac 地址的主机是网关。对“主机列表”中的每个主机重复此操作,因此在启动此插件之前您需要有一个有效的主机列表。
          • 例子:
          • ettercap -TP gw_discover /192.168.0.1-50/
        • isolate
          • 隔离插件会将主机与 LAN 隔离。它将使用与自己的mac 地址来毒害所有尝试与它连接的受害者的 arp 缓存。这样主机将无法联系其他主机,因为数据包永远无法到达
          • 可以指定所有主机或仅指定一个组。目标规范是这样工作的:目标 1 是受害者并且必须是单个主机,目标 2 可以是一个地址范围并代表将被受害者阻止的主机。
          • examples :
          • ettercap -TzqP isolate /192.168.0.1/ //
          • ettercap -TP isolate /192.168.0.1/ /192.168.0.2-30/
        • link_type
          • 它通过发送欺骗性 ARP 请求并侦听回复来检查链路类型(集线器或交换机)。它至少需要主机列表中的一项才能执行检查。使用两个或更多主机时,嗅探会更准确。
          • example :
          • ettercap -TQP link_type /192.168.0.1/
          • ettercap -TQP link_type //
        • pptp_chapms1
          • 它强制 pptp 隧道进行 MS-CHAPv1 身份验证而不是 MS-CHAPv2,这通常更容易破解(例如使用 LC4)。你必须处于连接的“中间”才能成功使用它。
        • pptp_pap
          • 它强制 pptp 隧道协商 PAP(明文)身份验证。如果不支持 PAP、缺少 pap_secret 文件或 Windows 配置为“自动使用域帐户”,则它可能会失败。(它也可能由于许多其他原因而失败)。所以必须处于连接的“中间”才能成功使用它。
        • pptp_reneg
          • 强制在现有 pptp 隧道上重新协商。您可以强制重新协商以获取已发送的密码。此外,您可以启动它以在现有隧道上使用 pptp_pap、pptp_chapms1 或 pptp_clear(这些插件仅在协商阶段工作)。必须处于连接的“中间”才能成功使用它。
        • rand_flood
          • 使用随机 MAC 地址淹没 LAN。某些开关在重复模式下会跳过,便于嗅探。每个数据包之间的延迟基于 etter.conf 中的 port_steal_send_delay 值。
          • 它仅在以太网交换机上有用。
          • 例子:
          • ettercap -TP rand_flood
        • remote_browser
          • 它将通过 HTTP 会话嗅探到的 URL 发送到浏览器。因此,您可以实时查看网页。执行的命令在etter.conf (5)文件中是可以配置的 。它仅向浏览器发送 GET 请求且仅针对网页,而忽略对图像或其他便利设施的单个请求。不要用它来查看你自己的连接:)
        • reply_arp
          • 简单的 arp 响应器。当它拦截对目标列表中主机的 arp 请求时,它会回复攻击者的 MAC 地址。
          • 例子:
          • ettercap -TQzP reply_arp /192.168.0.1/
          • ettercap -TQzP reply_arp //
        • repoison_arp
          • 它在来自受感染主机的 ARP 请求(或回复)后请求中毒数据包。例如:我们正在中毒 Group1 冒充 Host2。如果 Host2 向 Host3 发出 ARP 请求,则 Group1 可能会缓存包含在 ARP 数据包中的 Host2 的正确 MAC 地址。该插件在合法 ARP 请求(或回复)后立即重新毒害 Group1 缓存。
          • 此插件仅在 arp 定位会话期间有效。
          • 结合reply_arp 插件,repoison_arp 是对标准arp 中毒mitm 方法的良好支持。
          • 例子:
          • ettercap -T -M arp:remote -P repoison_arp /192.168.0.10-20/ /192.168.0.1/
        • scan_poisoner
          • 检查列表中的某个主机和我们之间是否有人中毒。首先,它会检查列表中的两个主机是否具有相同的 mac 地址。这可能意味着其中一个正在毒害我们假装是另一个。它可能会在代理 arp 环境中产生许多误报。您必须构建主机列表才能执行此检查。之后,它会向列表中的每个主机发送 icmp 回显数据包,并检查回复的源 mac 地址是否与我们为该 ip 存储在列表中的地址不同。这可能意味着有人正在毒害该主机,假装拥有我们的 IP 地址并将截获的数据包转发给我们。您无法在非攻击模式下执行此主动测试。
          • 例子:
          • ettercap -TQP scan_poisoner //
        • search_promisc
          • 它试图找出是否有人在 promisc 模式下嗅探。它向主机列表中的每个目标发送两种不同类型的格式错误的 arp 请求并等待回复。如果来自目标主机的回复到达,则该目标或多或少可能具有处于 promisc 模式的 NIC。它可能会产生误报。您可以从命令行或插件菜单启动它。由于它侦听 arp 回复,因此最好不要在发送 arp 请求时使用它。
          • 例子:
          • ettercap -TQP search_promisc /192.168.0.1/
          • ettercap -TQP search_promisc //
        • smb_clear
          • 它通过修改协议协商强制客户端以明文形式发送 smb 密码。您必须处于连接的“中间”才能成功使用它。它挂钩了 smb 解剖器,因此您必须使其保持活动状态。如果您将它用于 Windows 客户端,则可能会导致失败。在 *nix smbclient 上尝试一下 :)
        • smb_down
          • 它强制客户端在 smb 身份验证期间不使用 NTLM2 密码交换。这样,获得的哈希值可以很容易地被 LC4 破解。您必须处于连接的“中间”才能成功使用它。它挂钩了 smb 解剖器,因此您必须使其保持活动状态。
        • stp_mangler
          • 它冒充具有最高优先级的交换机发送生成 BPDUS树。一旦进入生成树的“根”,ettercap 就可以接收所有“非托管”网络流量。
          • 它仅对运行 STP 的一组交换机有用。
          • 如果有另一个具有最高优先级的交换机,请尝试在运行之前手动减少您的 MAC 地址。
          • 例子:
          • ettercap -TP stp_mangler
  • 插件管理译自:ettercap插件介绍 - blacksunny - 博客园

点击全文阅读


本文链接:http://zhangshiyu.com/post/40870.html

主机  插件  地址  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1