Tutorial Man In The Middle – Step 1

• Avoir deux VM : Une Kali (attaquante) Une VM Debian (cible)

• Mettre les deux VM en bridge/pont

• Installer bettercap sur la VM attaquante

• Activer le routage de la VM Kali avec la commande suivante (en root) :

• echo 1 > /proc/sys/net/ipv4/ip_forward

• Repérer l’adresse IP cible de la VM Debian

• Lancer bettercap :
• sudo bettercap
Tutorial Man In The Middle – Step 2
• Première étape : configurer le spoofing ARP

• Dans bettercap, configurez la machine à spoofer avec :

• set arp.spoof.targets XXX.XXX.XXX.XXX
• XXX.XXX.XXX.XXX est l’adresse IP de votre machine cible

• Ensuite, démarrez le spoofing ARP :

• arp.spoof on

• Pour vérifier que le spoofing est actif et que le trafic de votre machine cible passe bien par Kali, ouvrez
Wireshark et filtrez avec l’IP de votre machine cible.

• Générez du traffic avec votre machine cible (par exemple naviguez sur Google ou autre) et vérifiez que vous
voyez le traffic dans Wireshark.
• A cette étape, la cible ne le sait pas, mais tout son traffic passe par notre machine attaquante. On peut donc
voir tout son traffic.
Tutorial Man In The Middle – Step 3
• Pour aller plus loin, on peut aussi réaliser du DNS Spoofing, afin de rediriger du traffic vers un
serveur web malveillant.

• Pour cela, vous devez définir le domaine que vous souhaitez spoofer :
• set dns.spoof.domains mondomain.com

• Ensuite, vous devez spécifier l’IP vers laquelle vous souhaitez rediriger le flux.
• set dns.spoof.address XXX.XXX.XXX.XXX
• XXX.XXX.XXX.XXX est l’adresse du serveur web vers lequel on souhaite rediriger le trafic.

• Pour terminer, il suffit simplement d’activer le DNS Spoofing :

• dns.spoof on

• Si vous essayez de joindre mondomain.com avec votre VM cible, vous allez accéder à
XXX.XXX.XXX.XXX au lieu du site web légitime.