home

elenco generale degli articoli

cerca

emoH i r e t s A g n i k c aH ks

x u naiz L e r u c i S z

t e i ca S n o f e l e T oi

P I oV

l p

by admin on Jan.20, 2010, under Hacking, Linux, Sicurezza Ettercap supporta una serie di moduli, chiamati plugins, caricabili a runtime. Per ottenere un elenco dei plugins installati occorre impartire il comando: # ettercap -P list ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA Available plugins : arp_cop autoadd chk_poison dns_spoof dos_attack dummy find_conn find_ettercap find_ip finger finger_submit gre_relay gw_discover isolate link_type pptp_chapms1 pptp_clear pptp_pap pptp_reneg rand_flood remote_browser reply_arp repoison_arp scan_poisoner search_promisc smb_clear smb_down stp_mangler 1.1 1.2 1.1 1.1 1.0 3.0 1.0 2.0 1.0 1.6 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.2 1.0 1.0 1.0 1.2 1.0 1.0 1.0 Report suspicious ARP activity Automatically add new victims in the target range Check if the poisoning had success Sends spoofed dns replies Run a d.o.s. attack against an IP address A plugin template (for developers) Search connections on a switched LAN Try to find ettercap activity Search an unused IP address in the subnet Fingerprint a remote host Submit a fingerprint to ettercap's website Tunnel broker for redirected GRE tunnels Try to find the LAN gateway Isolate an host from the lan Check the link type (hub/switch) PPTP: Forces chapms-v1 from chapms-v2 PPTP: Tries to force cleartext tunnel PPTP: Forces PAP authentication PPTP: Forces tunnel re-negotiation Flood the LAN with random MAC addresses Sends visited URLs to the browser Simple arp responder Repoison after broadcast ARP Actively search other poisoners Search promisc NICs in the LAN Tries to force SMB cleartext auth Tries to force SMB to not use NTLM2 key auth Become root of a switches spanning tree

-->
Sottoscrivi feed RSS

i l oc i t rA e l a r ene ocne l E G i t neceR i l oc i t rA

Difendersi con rkhunter Difendersi con chkrootkit A volte ritornano! Exploit OpenSSH per tonni DNS proxying Scansione UDP migliorata in Nmap 5.2x Wepawet: un servizio per la analisi del malware Ancora lui I soliti furbi Fragilit NFS Wireshark con GeoIP Italiani brava gente Il terribile Shodan Un exploit non dovrebbe rovinarvi la giornata Network monitoring (anche remoto) con EtherApe Port forwarding dinamico con SSH Files criptati con OpenSSL Impronte cinesi I plugins di ettercap La dsniff family Google e laurora cinese Social Engineering Toolkit Google vs Cina Metasploit pivoting Metasploit da remoto Metasploit: confondere le tracce con timestomp Insidie client-side con Metasploit Karmetasploit Automazione di penetration tests con Metasploit Autopwn I filtri in ettercap Ettercap, uno sniffer per ambienti switched (e molto pi) Comunicazioni audio sicure ed in alta fedelt tramite comuni tools Linux more Meterpreter tricks Il modulo Meterpreter di Metasploit Introduzione a Metasploit Framework Opinione privata su Public Google DNS Comuni vulnerabilit DOS delle reti wireless Netwox seconda parte: esempi di utilizzo Netwox: un grande toolbox per lamministratore Rilevamento delle scansioni con PortSentry

Di seguito vi una descrizione sintetica dei plugins disponibili, ottenuta attraverso una traduzione spero accurata della relativa man-page, e arricchita da qualche esempio:

arp_cop
Esso rileva una sospetta attivit ARP monitorando passivamente le richieste/risposte ARP. Per tale motivo in grado di rilevare i tentativi di ARP posioning, o semplicemente la presenza di conflitti nella attribuzione degli indirizzi IP. esempio:

# ettercap -TQP arp_cop // [...] Activating arp_cop plugin arp_cop: plugin running... arp_cop: (IP-change) [00:1A:92:B8:1A:EC] 192.168.1.10 -> 192.168.1.40 autoadd
Aggiunge automaticamente nuovi targets allattacco di ARP poisoning non appena diano segni di vita. Si pone in ascolto di richieste ARP nella lan e, non appena ne rileva una, aggiunge il relativo host alla lista delle vittime. esempio: # ettercap -TQP autoadd // ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA Listening on eth0... (Ethernet) eth0 -> 00:1A:92:B8:1A:EC [...] 192.168.1.10 255.255.255.0

e i r oge t a C
Asterisk (40) Hacking (87) Linux (79) Sicurezza (120) Societ (62) Telefonia (41)

Activating autoadd plugin... Hosts list: 1) 192.168.1.1 00:15:E9:F9:15:C6 2) 192.168.1.200 00:18:4D:D2:F0:06

Telefonia (41) VoIP (25)

sga t

r ep a t l usno C

chk_poison
Effettua un controllo della funzionalit di arp poisoning. Invia pacchetti ICMP echo spoofed a tutte le vittime. Se viene rilevato un pacchetto ICMP reply con uno di tali indirizzi MAC come destinazione significa che il poisoning ha avuto successo. Non possibile lanciare questo plugin dalla linea di comando poich il processo di poisoning non ancora stato avviato. Occorre quindi lanciarlo dallo specifico menu.

asterisk pbx botnets brevi censura crittografia

cyberwar diritti digitali dns exploit honeypots

malware metasploit meterpreter msfconsole nmap

internet

open source payload politica privacy

tutorials VoIP web wireless

security sip software ssh tcp-ip tricks

dns_spoof
Lo si gia incontrato in un post precedente . Questo plugin intercetta le richieste DNS e replica con una risposta falsa. Si pu specificare per quale indirizzo il plugin debba replicare modificando il file etter.dns. Il plugin intercetta richieste di tipo A, PTR ed MX. Se si tratta di una richiesta A (Address), il nome viene ricercato nel file e viene restituito lindirizzo ip (si possono anche utilizzare wildcards per specificare il nome). Se si tratta di una richiesta PTR, nel file viene ricercato invece lindirizzo IP e viene restituito il nome. Nel caso di una richiesta di tipo MX viene forgiata una speciale risposta. Il nome host viene risolto semplicemente come mail. mentre la sezione addizionale del record conterr il relativo indirizzo ip. Pertanto se, dopo aver impostato in etter.dns:

voipandhack.it A 192.168.1.10 *.voipandhack.it A 192.168.1.10 voipandhack.it MX 192.168.1.10 voipandhack.it PTR 192.168.1.10

si impartisse:

# ettercap -T -M arp:remote /192.168.1.20/ /192.168.1.1/ -P dns_spoof

successive interrogazioni DNS effettuate sullhost 192.168.1.20 (192.168.1.1 rappresenta il gateway di default) restituirebbero:

# dig voipandhack.it [...] ;; ANSWER SECTION: voipandhack.it. 3600 IN A 192.168.1.10 [...] # dig -x 192.168.1.10 [...] ;; ANSWER SECTION: 10.1.168.192.in-addr.arpa. 3600 IN PTR voipandack.it [...] # dig voipandhack.it -t MX [...] ;; ANSWER SECTION: voipandhack.it. 3600 IN MX 10 mail.voipandack.it [...]
contemporaneamente, sulla console dalla quale stato lanciato ettercap, avremmo dei riscontri:

Tue Jan 19 18:42:57 2010 UDP 192.168.1.20:44882 --> 212.216.112.112:53 | .q...........voipandhack.it..... dns_spoof: [voipandhack.it] spoofed to [192.168.1.10] Tue Jan 19 18:44:01 2010 UDP 192.168.1.20:52951 --> 212.216.112.112:53 | .............10.1.168.192.in-addr.arpa..... dns_spoof: [10.1.168.192.in-addr.arpa] spoofed to [voipandhack.it] Tue Jan 19 18:44:51 2010 UDP 192.168.1.20:39718 --> 212.216.112.112:53 | .............voipandhack.it..... dns_spoof: MX [voipandhack.it] spoofed to [192.168.1.10] dos_attack
Questo plugin attua un attacco d.o.s. contro una vittima individuata da un indirizzo IP. Esso dapprima

scansiona la vittima per trovare porte in stato open, quindi inizia ad inondare tali porte con pacchetti SYN, utilizzando un indirizzo IP fantasma come sorgente. Quindi usa risposte ARP fasulle al fine di intercettare i pacchetti destinati allhost fantasma. Non appena riceve un pacchetto SYN-ACK da pare della vittima, replica con un pacchetto ACK creando di conseguenza una connessione in stato ESTABLISHED. Occorre ricorrere ad un indirizzo IP non utilizzato della propria subnet per creare lhost fantasma (si pu usare il plugin find_ip a tale scopo). esempio:

# ettercap -TQP dos_attack [...] Activating dos_attack plugin Insert victim IP: 192.168.1.200 Insert unused IP: 192.168.1.7 dos_attack: Starting scan against 192.168.1.200 [Fake Host: 192.168.1.7] dos_attack: Port 80 added dos_attack: Starting attack dummy
Solamente un template per mostrare come scrivere un plugin.

find_conn
Un plugin minimale che resta in ascolto di richieste ARP in grado di rivelare tutti i targets con i quali un host intenda comunicare. Pu essere utile per trovare gli indirizzi in una LAN sconosciuta. esempio:

# ettercap -TQzP find_conn [...] find_conn: Probable connection attempt 192.168.1.10 -> 192.168.1.200 find_ettercap
Cerca di identificare pacchetti immesso nella LAN da una istanza di ettercap. Dovrebbe cio servire a determinare se qualcuno stia utilizzando ettercap. Il test si basa sul rilevamento di particolari numeri di sequenza.

find_ip
Questo plugin in grado di rilevare il primo indirizzo IP non usato nel range specificato dallutente nella target list. Alcuni altri plugins (come ad esempio dos_attack o gre_relay) necessitano di un indirizzo IP inutilizzato della LAN per creare un host fantasma. Pu anche risultare utile per ottenere un indirizzo IP in una LAN sconosciuta dove non sia presente un server dhcp. Si pu in tal caso usare find_conn per determinare lindirizzamento IP della LAN, e quindi find_ip. Non disponendo ancora di un indirizzo IP per la propria interfaccia, occorre assegnarnene uno fittizio (ad esempio, se lo spazio di indirizzamento della LAN fosse 192.168.0.0/24, si pu usare 10.0.0.1 per evitare conflitti IP), e poi lanciare questo plugin, indifferentemente da linea di comando o da un menu della UI) specificando un subnet range. esempo:

# ettercap -TQP find_ip //

oppure

# ettercap -TQP find_ip /192.168.0.1-254/ [...] Activating find_ip plugin find_ip: Searching an unused IP address... find_ip: 192.168.1.2 seems to be unused Unified sniffing was stopped. finger
Questo plugin fa uso di capacit di fingerprint passivo su di un host remoto. Esso effettua una connect() verso lhost remoto per forzarne il kernel a rispondere al pacchetto SYN con un pacchetto SYN+ACK. La risposta viene catturata ed il fingerprint mostrato a video. La connect() obbedisce al parametro connect_timeout presente in etter.conf. possibile specificare un target sulla linea di comando o lasciare che lo richieda il plugin stesso. Si possono specificare target multipli. Specificando porte multiple, tutte verranno sondate su tutti gli IPs. esempio:

# ettercap -TzP finger /192.168.0.1/22

oppure:

# ettercap -TzP finger /192.168.1.1/23,80 [...] Activating finger plugin Fingerprinting 192.168.1.1:23... FINGERPRINT : 16A0:05B4:40:00:1:1:1:1:A:3C OPERATING SYSTEM : Linux 2.4.xx Fingerprinting 192.168.1.1:80... FINGERPRINT : 16A0:05B4:40:00:1:1:1:1:A:3C OPERATING SYSTEM : Linux 2.4.xx Unified sniffing was stopped. finger_submit
Questo plugin va utilizzato per sottoporre un particolare fingerprint al sito web di ettercap. Se si rilevasse un fingerprint sconosciuto, ma si conoscesse per certo il sistema operativo del target, lo si potrebbe sottoporre per fare in modo che esso venga inserito nel database che accompagner la prossima release di ettercap. esempio:

# ettercap -TzP finger_submit gre_relay

Questo plugin pu essere usato per sniffare GRE-redirected remote traffic. Il concetto alla base quello di creare un tunnel GRE che invii tutto il traffico passante per linterfaccia di un router alla macchina sulla quale in esecuzione ettercap. Il plugin ritorner i pacchetti GRE al router, dopo che ettercap li abbia manipolati (sul traffico rediretto si possono adoperare plugins attivi come smb_down, ssh decryption, filtri, ecc). Necessita di un fake host sul quale redirigere il traffico (per evitare risposte dal kernel). Lindirizzo IP fasullo costituir il punto terminale del tunnel. Il plugin gre_relay impersoner lhost fasullo. Per trovare un idirizzo IP non usato per lhost fasullo si pu ricorrere al plugin find_ip.

gw_discover
Questo plugin cerca di scoprire quale sia il gateway della lan tramite linvio di pacchetti TCP SYN ad un host remoto. Ogni pacchetto ha come IP di destinazione quello di un host remoto e come indirizzo MAC di destinazione quello di un host locale. Se ettercap riceve un pacchetto SYN+ACK, l host che possiede lindirizzo mac sorgente della risposta il gateway. Questa operazione viene ripetuta per ciascun host della host list. esempio:

# ettercap -TP gw_discover /192.168.1.1-255/ [...] * |==================================================>| 100.00 % [...] Activating gw_discover plugin Insert remote IP:PORT : 195.210.91.83:80 [...] Remote target is 195.210.91.83:80 Sending the SYN packet to 192.168.1.1 [00:15:E9:F9:15:C6] Sending the SYN packet to 192.168.1.20 [00:0F:B5:83:2F:29] Sending the SYN packet to 192.168.1.200 [00:18:4D:D2:F0:06] [00:15:E9:F9:15:C6] 192.168.1.1 is probably a gateway for the LAN isolate
Il plugin isolate serve appunto ad isolare un host dalla LAN. Avvelena la cache arp della vittima con il proprio indirizzo mac associato a tutti gli host che essa cerca di contattare. In tal modo l host non sar pi capace di contattare altri hosts. Si possono specificare tutti gli host o solamente un sottoinsieme. La specificazione dei targets opera nel modo seguente: target1 individua la vittima e deve corrispondere ad un singolo host, target2 pu essere un range di indirizzi e rappresenta gli hosts cui viene inibito laccesso da parte della vittima. esempio:

# ettercap -TzqP isolate /192.168.1.20/ //

[...] Activating isolate plugin isolate: 192.168.1.200 added to the list isolate: 192.168.1.10 added to the list
Interrogando la cache ARP della vittima si pu facilmente verificare che ai due hosts che essa ha tentato di contattare sono stati attribuiti lo stesso indirizzo fisico, corrispondente a quello reale della sua interfaccia:

# arp -an ? (192.168.1.200) at 00:0f:b5:83:2f:29 [ether] on eth2 ? (192.168.1.10) at 00:0f:b5:83:2f:29 [ether] on eth2 link_type
Effettua un controllo sul tipo di link (hub o switch) tramite linvio di una richiesta ARP contraffatta, ponendosi quindi in attesa di una risposta. Necessita di almeno una voce nella host list. Con due o pi hosts il test risulter pi accurato. esempio:

# ettercap -TQP link_type /192.168.1.200/ [...] link_type: Only one host in the list. Check will be less reliable link_type: Checking link type... link_type: You are plugged into a HUB

# ettercap -TQP link_type // [...] link_type: Checking link type link_type: You are plugged into a SWITCH pptp_chapms1
Esso forza il tunnel pptp a negoziare una autenticazione MS-CHAPv1 invece che MS-CHAPv2, dato che normalmente pi facile da violare. Occorre trovarsi nel mezzo di una connessione (mitm per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.

pptp_clear
Forza a non utilizzare alcuna compressione/criptazione per i tunnels pptp durante una negoziazione. Potrebbe fallire nel caso in cui il client (oppure il server) fosse configurato per sganciarsi dal tunnel nel caso in cui non venisse negoziata alcuna criptazione. Occorre trovarsi nel mezzo di una connessione (mitm per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.

pptp_pap
Forza il tunnel pptp a negoziare una autenticazione PAP (cleartext). Potrebbe fallire nel caso in cui PAP non fosse supportata, se mancasse il file pap_secret, oppure nel caso in cui windows fosse configurato con authomatic use of domain account. (Potrebbe fallire in realt per molti altri motivi). Occorre trovarsi nel mezzo di una connessione (mitm per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.

pptp_reneg
Forza una ri-negoziazione relativa ad un tunnel pptp esistente. possibile forzare la ri-negoziazione per catturare passwords gi inviate. Inoltre lo si pu lanciare per usare pptp_pap, pptp_chapms1 o pptp_clear a carico di tunnels esistenti (tali plugins operano sulamente la fase di negoziazione). Occorre trovarsi nel mezzo di una connessione (mitm) per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo.

rand_flood
Inonda la LAN con pacchetti aventi un indirizzo MAC casuale. In tale situazione alcuni switches vanno in tilt e replicano tutto il traffico su ogni porta, come se fossero un hub, e facilitando quindi lo sniffing. Il ritardo tra un pacchetto e laltro si basa sul valore port_steal_send_delay presente in etter.conf. esempio:

# ettercap -TP rand_flood remote_browser

Abbiamo incontrato questo plugin in precedenza. Esso invia al browser locale le URLs catturate tramite le sessioni HTTP, permettendo di seguire in realtime la navigazione web della vittima. Esso invia al browser solamente le richieste GET e solo per pagine web complete, ignorando richieste di singole immagini ecc.

reply_arp
Si tratta di un semplice risponditore arp. Quando intercetta una richiesta arp relativa ad un host presente nella lista dei targets, esso replica con lindirizzo MAC dellattaccante. esempi:

# ettercap -TQzP reply_arp /192.168.0.1/ # ettercap -TQzP reply_arp // repoison_arp

Rinnova linvio di pacchetti avvelenanti in seguito a richieste (o risposte) ARP broadcast da parte di un host avvelenato. Si assuma, per esempio, di avvelenare una serie di hosts in Group1 impersonando Host2. Se Host2 effettuasse una richiesta ARP broadcast per Host3, potrebbe accadere che Group1 inserisca nella cache il corretto indirizzo MAC per Host2 contenuto nel relativo pacchetto ARP. Questo plugin serve appunto a ri-avvelenare la cache di Group1 immediatamente dopo una legittima richiesta (o risposta) ARP broadcast. esempio:

# ettercap -T -M arp:remote -P repoison_arp /192.168.0.10-20/ /192.168.0.1/ scan_poisoner

Controlla se qualcuno stia effettuando un poisoning tra qualche host della lista e noi. Per prima cosa controlla se per caso due hosts nella lista abbiano il medesimo indirizzo mac. Potrebbe significare che uno di essi stia tentando di ingannarci pretendendo di essere laltro. Potrebbe generare molti falsipositi in ambiente proxy-arp. Per attuare questo controllo necessaria una lista di hosts, dopodich, esso invia pacchetti icmp echo a ciascun host nella lista e controlla se lindirizzo mac sorgente della risposta differisce da quello memorizzato nella lista per quel ip. Potrebbe significare che qualcuno sta avvelenando quell host pretendendo di avere il nostro indirizzo ip address e successivamente ci reinoltri i pacchetti intercettati. esempio:

# ettercap -TQP scan_poisoner // search_promisc

Questo plugin serve a rilevare se qualcuno sta attuando uno sniffing in promisc mode. Ettercap invia due differenti tipologie di richieste ARP malformate ad ogni nodo nella rete ed attende la risposta. Nel caso questa arrivi, piuttosto probabile che il nodo origine abbia linterfaccia di rete impostata in modalit promiscua. Potrebbe generare falsi-positivi. esempi:

# ettercap -TQP search_promisc /192.168.0.1/ # ettercap -TQP search_promisc // smb_clear

Cerca di costringere il client ad inviare la password smb in clear-text alterando la negoziazione del protocollo. Occorre trovarsi nel mezzo di una connessione per poterlo utilizzare con successo. Si avvale del dissector smb, per cui occorre averlo attivo. Utilizzandolo contro un client windows, probabilmente fallirebbe, ma lo si pu tentare contro un smbclient *nix.

smb_down
Forza il client a non fare uso di una password NTLM2 durante la autenticazione smb. In questo modo, gli hashes ottenuti possono essere facilmente violati. Occorre trovarsi nel mezzo della connessione perch abbia successo. Si avvale del dissector smb, per cui occorre averlo attivo.

stp_mangler
Invia dei pacchetti BPDU (Bridge Protocol Data Unit) spanning tree pretendendo di essere uno switch con priorit piu alta. Una volta nella root dello spanning tree, ettercap sar in grado di ricevere tutto il traafico di rete unmanaged.

esempio:

# ettercap -TP stp_mangler

Send post as PDF to Enter email address

Sen d

:arp , ettercap , ettercap plugins, mitm, open source , poisoning , security , ssh , tcp-ip , tricks

Comments are closed.

RSS feed for this post (comments)

ni asoc l a q i hcre u C
Usa il form qui sotto per cercare nel sito: Search keywords
Find it

!eru i l e ta t i s i V p
Alcuni links... clshack.it Vecchia documentazione

sev i hcrA
Tutte le entries, in ordine cronologio... February 2010 January 2010 December 2009 November 2009 October 2009 July 2009 June 2009 May 2009 April 2009 March 2009

Powered by WordPress and pixeled. Sweet icons by famfamfam. Back to top