*Drive*- Здесь рулят padonki
https://drivesource.ru/

Ettercap - будь хаккером!
https://drivesource.ru/viewtopic.php?f=5&t=661
Страница 1 из 1

Автор:  Padonak [ 30 июл 2008, 00:10 ]
Заголовок сообщения:  Ettercap - будь хаккером!

Приветствую тебя, юный хакер! Сегодня -- твой день.

Ты уже наверняка слышал о мощном хакерском средстве, о программе ettercap? Ettercap весьма бурно эволюционирует, и в этот раз я расскажу тебе о новой версии этой суперпроги, 0.6.7, выпущенной буквально на днях. Начиная с этой версии, ettercap достоин носить название полноценного крякера локальных сетей =))) Нельзя сказать, что ettercap реализует какие-то особенно новые или гениальные технологии, но у него есть одно принципиальное отличие, что делает его уникальным. Он объединяет кучу средств для кошерного хака локальных сетей в единое целое.

КОМПИЛИРУЕМ

Домашняя страница проекта: http://ettercap.sourceforge.net/

Ettercap реализован под следующие платформы: MacOS X, Windows 9x/NT/2000/XP, FreeBSD, OpenBSD и, конечно же, Linux. Для работы, ettercap'у не нужны какие-то дополнительные библиотеки вроде libpcap или libnet (за исключением библиотеки WinPCap для Windows-версии), но для полнофункциональной работы рекомендуется включить библиотеку curses (я использовал шестой ncurses) и openssl (я использовал дефолтную для red hat 7.2 библиотеку).

Процесс компиляции прост, особенно под Linux:

./configure --help
включаем нужные параметры
./configure
./make help

и далее следуем простым инструкциям, компилируя и устанавливая сам ettercap и плагины к нему.

В итоге, мы получаем ncurses-based-программу с очень простым интерфейсом и богатым диапазоном возможностей.

Документация к программе не очень обильна, но я крайне рекомендую тебе прочесть все, что идет в поставке пакета.

ВОЗМОЖНОСТИ

Все, что написано про возможности программы на сайте - это правда =)) Но я не буду все это пересказывать здесь, ты ведь уже не маленький и умеешь читать по-английски.

Не спеши запускать прогу и пытаться её юзать сразу же, едва скомпилировав и установив. Прочти man ettercap, все readme, разберись с конфигом (etter.conf) и фильтрами (etter.filter и etter.filter.ssh). Учти, что по дефолту программа выполняет множество лишних действий (например, dns-резолвинг найденных адресов). Кроме того, активный arpoisoning и некоторые другие действия могут скомпрометировать хакера, использующего ettercap. Даже в самой программе встроена функция обнаружения себе подобных =)) Конечно же, некоторые действия требуют активной работы программы (т.е. испускания ею некоторых кадров данных, которые могут быть пойманы и продиагностированы), от этого никуда не деться, но лучше, все-таки, об этом знать =))

ЗАПУСКАЕМ

Запуск программы, её начальная работа зависит от версии (Windows-версия спросит у тебя номер интерфейс, который необходимо использовать), от ключей, с которыми программа была запущена, а также от настроек в конфигурационных файлах. Я буду рассказывать о максимально дефолтной (следовательно, о предельно неприкрытой) работе программы. Запускаем, выбираем интерфейс, программа сканирует сабнет интерфейса (у меня это 192.168.0.246, маска подсети 255.255.255.0) на предмет выяснения соответствий IP<->MAC, dns- и netbios-имен машин. Открывается ncurses-окошко примерно такого содержания:



Это главное (начальное) окно ettercap'а, откуда ты можешь выбирать вражеские адреса, запускать плагины (если твой ettercap их поддерживает), выполнять различные команды. Жми кнопку 'h', и ты получишь справку о возможных функциях программы на этом уровне. Почти во всех случаях, тебе необходимо выбрать адреса, с которыми тебе необходимо работать. Левая колонка -- source, правая -- destination. Селект и деселект производится кнопками <enter> и <space>. Далее следует выбрать метод сниффинга. ettercap предлагает целых три, я расскажу о каждом в отдельности.

СНИФФИНГ

Итак, методов сниффинга три.

1) <a>, ARP poisoning based sniffing, применяется для сниффинга в свичуемых сетях, а также для применения атак класса mitm. В данном случае используется атака arpoison, которая модифицирует ARP-таблицы заражаемых хостов таким образом, что все кадры данных с выбранного source идут на твой хост, а с твоего уже - на destination.

Иными словами, с помощью этого метода сниффинга ты сможешь видеть любой траффик твоего сегмента за пределами каких бы то ни было ограничивающих тебя свичей. Ты также сможешь проводить любые mitm-атаки, ровно с той же силой, как если бы ты на самом деле был посередине двух хостов. На основе этого метода, уже с версии 0.6.7 ettercap реализует перехват (dissection) паролей протоколов ssh1 и https. Можно даже сниффить пароли в ssh версии 2, если подключить фильтр (ettercap -F etter.filter.ssh), который будет спуфить версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только лишь первую версию протокола ssh.

Очевидно, что для проведения атаки arpoison, ettercap'у необходимо нагадить в сеть целой пачкой ложных ARP-пакетов, и я почти уверен, что уже есть средства, отлавливающие эту атаку. И уж тебе решать, как от этого спасаться. Можно, например, вводить ложный IP-адрес...

2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это обычный пассивный сниффинг локальной сети. Возможности такого сниффинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.

Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод сниффинга (я выбрал <a>), ты попадешь в соответствующее окно:



и будешь видеть все интересующие тебя соединения. Для того, чтобы собирать пароли, делать не нужно вообще ничего =)) Наведи курсор на нужное тебе соединение: пароли будут появляться в нужной части экрана =)) Сброс паролей в лог -- кнопка <l>. Нажми на кнопку <h> и ты увидишь новый диапазон возможностей, уверен, он тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc... Что ещё нужно хакеру? =)

ВКУСНОСТИ

Возможности программы ettercap огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих злобных целей предусмотрены варианты в виде:

1) Написания плагинов; ну тут все просто и понятно: не влезая в кишки ettercap'a, рюхаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.

2) Возможность bind'ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, такое свойство программы может оказаться весьма и весьма кстати =))

ГОРЬКОСТИ

Они тоже есть, а куда же без них? =))) И горькостей, пожалуй, даже больше, чем вкусностей.

1) Виндовый порт программы, мягко говоря, далёк от совершенства. В этом вина реализации posix'овой мультизадачности cygwin'а, сквалыжностью сетевой части и множеством более минорных моментов, связанных с портированием софта. Даже в моей win2k, системе довольно кондовой и крепкой, ettercap работает нестабильно...

2) Если ты не программист (принципиально, как один мой знакомый журналист, или просто от нежелания/неумения), то тебе придется забыть о возможных вкусностях ettercap'а, довольствоваться дефолтным содержимым и ждать обновлений программы.

3) Один мой знакомый хакер из Свердловска уже опубликовал патч к ядру linux-2.4 против атаки arpoison. Следует надеяться, что ядра Windows исправят нескоро, но уже можно утверждать, что дни arpoison сочтены... О патче к ядру linux-2.4 ты можешь прочесть тут:

http://www.securitylab.ru/?ID=33493

http://www.securitylab.ru/?ID=33591

Желаю тебе удачи, юный хакер!

P.S. И не ходи под рутом на захваченных машинах... man adduser -=)

С уважением, [Privacy]

видео : http://milw0rm.com/video/watch.php?id=79

Страница 1 из 1 Часовой пояс: UTC + 3 часа [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/