Académique Documents
Professionnel Documents
Culture Documents
cerca
emoH i r e t s A g n i k c aH ks
x u naiz L e r u c i S z
t e i ca S n o f e l e T oi
P I oV
l p
by admin on Jan.20, 2010, under Hacking, Linux, Sicurezza Ettercap supporta una serie di moduli, chiamati plugins, caricabili a runtime. Per ottenere un elenco dei plugins installati occorre impartire il comando: # ettercap -P list ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA Available plugins : arp_cop autoadd chk_poison dns_spoof dos_attack dummy find_conn find_ettercap find_ip finger finger_submit gre_relay gw_discover isolate link_type pptp_chapms1 pptp_clear pptp_pap pptp_reneg rand_flood remote_browser reply_arp repoison_arp scan_poisoner search_promisc smb_clear smb_down stp_mangler 1.1 1.2 1.1 1.1 1.0 3.0 1.0 2.0 1.0 1.6 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.2 1.0 1.0 1.0 1.2 1.0 1.0 1.0 Report suspicious ARP activity Automatically add new victims in the target range Check if the poisoning had success Sends spoofed dns replies Run a d.o.s. attack against an IP address A plugin template (for developers) Search connections on a switched LAN Try to find ettercap activity Search an unused IP address in the subnet Fingerprint a remote host Submit a fingerprint to ettercap's website Tunnel broker for redirected GRE tunnels Try to find the LAN gateway Isolate an host from the lan Check the link type (hub/switch) PPTP: Forces chapms-v1 from chapms-v2 PPTP: Tries to force cleartext tunnel PPTP: Forces PAP authentication PPTP: Forces tunnel re-negotiation Flood the LAN with random MAC addresses Sends visited URLs to the browser Simple arp responder Repoison after broadcast ARP Actively search other poisoners Search promisc NICs in the LAN Tries to force SMB cleartext auth Tries to force SMB to not use NTLM2 key auth Become root of a switches spanning tree
-->
Sottoscrivi feed RSS
Di seguito vi una descrizione sintetica dei plugins disponibili, ottenuta attraverso una traduzione spero accurata della relativa man-page, e arricchita da qualche esempio:
arp_cop
Esso rileva una sospetta attivit ARP monitorando passivamente le richieste/risposte ARP. Per tale motivo in grado di rilevare i tentativi di ARP posioning, o semplicemente la presenza di conflitti nella attribuzione degli indirizzi IP. esempio:
# ettercap -TQP arp_cop // [...] Activating arp_cop plugin arp_cop: plugin running... arp_cop: (IP-change) [00:1A:92:B8:1A:EC] 192.168.1.10 -> 192.168.1.40 autoadd
Aggiunge automaticamente nuovi targets allattacco di ARP poisoning non appena diano segni di vita. Si pone in ascolto di richieste ARP nella lan e, non appena ne rileva una, aggiunge il relativo host alla lista delle vittime. esempio: # ettercap -TQP autoadd // ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA Listening on eth0... (Ethernet) eth0 -> 00:1A:92:B8:1A:EC [...] 192.168.1.10 255.255.255.0
e i r oge t a C
Asterisk (40) Hacking (87) Linux (79) Sicurezza (120) Societ (62) Telefonia (41)
sga t
r ep a t l usno C
chk_poison
Effettua un controllo della funzionalit di arp poisoning. Invia pacchetti ICMP echo spoofed a tutte le vittime. Se viene rilevato un pacchetto ICMP reply con uno di tali indirizzi MAC come destinazione significa che il poisoning ha avuto successo. Non possibile lanciare questo plugin dalla linea di comando poich il processo di poisoning non ancora stato avviato. Occorre quindi lanciarlo dallo specifico menu.
internet
dns_spoof
Lo si gia incontrato in un post precedente . Questo plugin intercetta le richieste DNS e replica con una risposta falsa. Si pu specificare per quale indirizzo il plugin debba replicare modificando il file etter.dns. Il plugin intercetta richieste di tipo A, PTR ed MX. Se si tratta di una richiesta A (Address), il nome viene ricercato nel file e viene restituito lindirizzo ip (si possono anche utilizzare wildcards per specificare il nome). Se si tratta di una richiesta PTR, nel file viene ricercato invece lindirizzo IP e viene restituito il nome. Nel caso di una richiesta di tipo MX viene forgiata una speciale risposta. Il nome host viene risolto semplicemente come mail. mentre la sezione addizionale del record conterr il relativo indirizzo ip. Pertanto se, dopo aver impostato in etter.dns:
# dig voipandhack.it [...] ;; ANSWER SECTION: voipandhack.it. 3600 IN A 192.168.1.10 [...] # dig -x 192.168.1.10 [...] ;; ANSWER SECTION: 10.1.168.192.in-addr.arpa. 3600 IN PTR voipandack.it [...] # dig voipandhack.it -t MX [...] ;; ANSWER SECTION: voipandhack.it. 3600 IN MX 10 mail.voipandack.it [...]
contemporaneamente, sulla console dalla quale stato lanciato ettercap, avremmo dei riscontri:
Tue Jan 19 18:42:57 2010 UDP 192.168.1.20:44882 --> 212.216.112.112:53 | .q...........voipandhack.it..... dns_spoof: [voipandhack.it] spoofed to [192.168.1.10] Tue Jan 19 18:44:01 2010 UDP 192.168.1.20:52951 --> 212.216.112.112:53 | .............10.1.168.192.in-addr.arpa..... dns_spoof: [10.1.168.192.in-addr.arpa] spoofed to [voipandhack.it] Tue Jan 19 18:44:51 2010 UDP 192.168.1.20:39718 --> 212.216.112.112:53 | .............voipandhack.it..... dns_spoof: MX [voipandhack.it] spoofed to [192.168.1.10] dos_attack
Questo plugin attua un attacco d.o.s. contro una vittima individuata da un indirizzo IP. Esso dapprima
scansiona la vittima per trovare porte in stato open, quindi inizia ad inondare tali porte con pacchetti SYN, utilizzando un indirizzo IP fantasma come sorgente. Quindi usa risposte ARP fasulle al fine di intercettare i pacchetti destinati allhost fantasma. Non appena riceve un pacchetto SYN-ACK da pare della vittima, replica con un pacchetto ACK creando di conseguenza una connessione in stato ESTABLISHED. Occorre ricorrere ad un indirizzo IP non utilizzato della propria subnet per creare lhost fantasma (si pu usare il plugin find_ip a tale scopo). esempio:
# ettercap -TQP dos_attack [...] Activating dos_attack plugin Insert victim IP: 192.168.1.200 Insert unused IP: 192.168.1.7 dos_attack: Starting scan against 192.168.1.200 [Fake Host: 192.168.1.7] dos_attack: Port 80 added dos_attack: Starting attack dummy
Solamente un template per mostrare come scrivere un plugin.
find_conn
Un plugin minimale che resta in ascolto di richieste ARP in grado di rivelare tutti i targets con i quali un host intenda comunicare. Pu essere utile per trovare gli indirizzi in una LAN sconosciuta. esempio:
# ettercap -TQzP find_conn [...] find_conn: Probable connection attempt 192.168.1.10 -> 192.168.1.200 find_ettercap
Cerca di identificare pacchetti immesso nella LAN da una istanza di ettercap. Dovrebbe cio servire a determinare se qualcuno stia utilizzando ettercap. Il test si basa sul rilevamento di particolari numeri di sequenza.
find_ip
Questo plugin in grado di rilevare il primo indirizzo IP non usato nel range specificato dallutente nella target list. Alcuni altri plugins (come ad esempio dos_attack o gre_relay) necessitano di un indirizzo IP inutilizzato della LAN per creare un host fantasma. Pu anche risultare utile per ottenere un indirizzo IP in una LAN sconosciuta dove non sia presente un server dhcp. Si pu in tal caso usare find_conn per determinare lindirizzamento IP della LAN, e quindi find_ip. Non disponendo ancora di un indirizzo IP per la propria interfaccia, occorre assegnarnene uno fittizio (ad esempio, se lo spazio di indirizzamento della LAN fosse 192.168.0.0/24, si pu usare 10.0.0.1 per evitare conflitti IP), e poi lanciare questo plugin, indifferentemente da linea di comando o da un menu della UI) specificando un subnet range. esempo:
# ettercap -TQP find_ip /192.168.0.1-254/ [...] Activating find_ip plugin find_ip: Searching an unused IP address... find_ip: 192.168.1.2 seems to be unused Unified sniffing was stopped. finger
Questo plugin fa uso di capacit di fingerprint passivo su di un host remoto. Esso effettua una connect() verso lhost remoto per forzarne il kernel a rispondere al pacchetto SYN con un pacchetto SYN+ACK. La risposta viene catturata ed il fingerprint mostrato a video. La connect() obbedisce al parametro connect_timeout presente in etter.conf. possibile specificare un target sulla linea di comando o lasciare che lo richieda il plugin stesso. Si possono specificare target multipli. Specificando porte multiple, tutte verranno sondate su tutti gli IPs. esempio:
# ettercap -TzP finger /192.168.1.1/23,80 [...] Activating finger plugin Fingerprinting 192.168.1.1:23... FINGERPRINT : 16A0:05B4:40:00:1:1:1:1:A:3C OPERATING SYSTEM : Linux 2.4.xx Fingerprinting 192.168.1.1:80... FINGERPRINT : 16A0:05B4:40:00:1:1:1:1:A:3C OPERATING SYSTEM : Linux 2.4.xx Unified sniffing was stopped. finger_submit
Questo plugin va utilizzato per sottoporre un particolare fingerprint al sito web di ettercap. Se si rilevasse un fingerprint sconosciuto, ma si conoscesse per certo il sistema operativo del target, lo si potrebbe sottoporre per fare in modo che esso venga inserito nel database che accompagner la prossima release di ettercap. esempio:
gw_discover
Questo plugin cerca di scoprire quale sia il gateway della lan tramite linvio di pacchetti TCP SYN ad un host remoto. Ogni pacchetto ha come IP di destinazione quello di un host remoto e come indirizzo MAC di destinazione quello di un host locale. Se ettercap riceve un pacchetto SYN+ACK, l host che possiede lindirizzo mac sorgente della risposta il gateway. Questa operazione viene ripetuta per ciascun host della host list. esempio:
# ettercap -TP gw_discover /192.168.1.1-255/ [...] * |==================================================>| 100.00 % [...] Activating gw_discover plugin Insert remote IP:PORT : 195.210.91.83:80 [...] Remote target is 195.210.91.83:80 Sending the SYN packet to 192.168.1.1 [00:15:E9:F9:15:C6] Sending the SYN packet to 192.168.1.20 [00:0F:B5:83:2F:29] Sending the SYN packet to 192.168.1.200 [00:18:4D:D2:F0:06] [00:15:E9:F9:15:C6] 192.168.1.1 is probably a gateway for the LAN isolate
Il plugin isolate serve appunto ad isolare un host dalla LAN. Avvelena la cache arp della vittima con il proprio indirizzo mac associato a tutti gli host che essa cerca di contattare. In tal modo l host non sar pi capace di contattare altri hosts. Si possono specificare tutti gli host o solamente un sottoinsieme. La specificazione dei targets opera nel modo seguente: target1 individua la vittima e deve corrispondere ad un singolo host, target2 pu essere un range di indirizzi e rappresenta gli hosts cui viene inibito laccesso da parte della vittima. esempio:
[...] Activating isolate plugin isolate: 192.168.1.200 added to the list isolate: 192.168.1.10 added to the list
Interrogando la cache ARP della vittima si pu facilmente verificare che ai due hosts che essa ha tentato di contattare sono stati attribuiti lo stesso indirizzo fisico, corrispondente a quello reale della sua interfaccia:
# arp -an ? (192.168.1.200) at 00:0f:b5:83:2f:29 [ether] on eth2 ? (192.168.1.10) at 00:0f:b5:83:2f:29 [ether] on eth2 link_type
Effettua un controllo sul tipo di link (hub o switch) tramite linvio di una richiesta ARP contraffatta, ponendosi quindi in attesa di una risposta. Necessita di almeno una voce nella host list. Con due o pi hosts il test risulter pi accurato. esempio:
# ettercap -TQP link_type /192.168.1.200/ [...] link_type: Only one host in the list. Check will be less reliable link_type: Checking link type... link_type: You are plugged into a HUB
# ettercap -TQP link_type // [...] link_type: Checking link type link_type: You are plugged into a SWITCH pptp_chapms1
Esso forza il tunnel pptp a negoziare una autenticazione MS-CHAPv1 invece che MS-CHAPv2, dato che normalmente pi facile da violare. Occorre trovarsi nel mezzo di una connessione (mitm per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.
pptp_clear
Forza a non utilizzare alcuna compressione/criptazione per i tunnels pptp durante una negoziazione. Potrebbe fallire nel caso in cui il client (oppure il server) fosse configurato per sganciarsi dal tunnel nel caso in cui non venisse negoziata alcuna criptazione. Occorre trovarsi nel mezzo di una connessione (mitm per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.
pptp_pap
Forza il tunnel pptp a negoziare una autenticazione PAP (cleartext). Potrebbe fallire nel caso in cui PAP non fosse supportata, se mancasse il file pap_secret, oppure nel caso in cui windows fosse configurato con authomatic use of domain account. (Potrebbe fallire in realt per molti altri motivi). Occorre trovarsi nel mezzo di una connessione (mitm per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.
pptp_reneg
Forza una ri-negoziazione relativa ad un tunnel pptp esistente. possibile forzare la ri-negoziazione per catturare passwords gi inviate. Inoltre lo si pu lanciare per usare pptp_pap, pptp_chapms1 o pptp_clear a carico di tunnels esistenti (tali plugins operano sulamente la fase di negoziazione). Occorre trovarsi nel mezzo di una connessione (mitm) per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.
rand_flood
Inonda la LAN con pacchetti aventi un indirizzo MAC casuale. In tale situazione alcuni switches vanno in tilt e replicano tutto il traffico su ogni porta, come se fossero un hub, e facilitando quindi lo sniffing. Il ritardo tra un pacchetto e laltro si basa sul valore port_steal_send_delay presente in etter.conf. esempio:
Abbiamo incontrato questo plugin in precedenza. Esso invia al browser locale le URLs catturate tramite le sessioni HTTP, permettendo di seguire in realtime la navigazione web della vittima. Esso invia al browser solamente le richieste GET e solo per pagine web complete, ignorando richieste di singole immagini ecc.
reply_arp
Si tratta di un semplice risponditore arp. Quando intercetta una richiesta arp relativa ad un host presente nella lista dei targets, esso replica con lindirizzo MAC dellattaccante. esempi:
smb_down
Forza il client a non fare uso di una password NTLM2 durante la autenticazione smb. In questo modo, gli hashes ottenuti possono essere facilmente violati. Occorre trovarsi nel mezzo della connessione perch abbia successo. Si avvale del dissector smb, per cui occorre averlo attivo.
stp_mangler
Invia dei pacchetti BPDU (Bridge Protocol Data Unit) spanning tree pretendendo di essere uno switch con priorit piu alta. Una volta nella root dello spanning tree, ettercap sar in grado di ricevere tutto il traafico di rete unmanaged.
esempio:
Sen d
:arp , ettercap , ettercap plugins, mitm, open source , poisoning , security , ssh , tcp-ip , tricks
ni asoc l a q i hcre u C
Usa il form qui sotto per cercare nel sito: Search keywords
Find it
!eru i l e ta t i s i V p
Alcuni links... clshack.it Vecchia documentazione
sev i hcrA
Tutte le entries, in ordine cronologio... February 2010 January 2010 December 2009 November 2009 October 2009 July 2009 June 2009 May 2009 April 2009 March 2009