- 前言:最近在学kali,学到了dns劫持,上的课老师也是讲了一部分功能,我在网上想找一下别的功能,却发现这个Ettercap居然是20年新版,并没有什么详细信息,我就心血来潮写这篇笔记,让自己以后在复习的时候可以更快的回顾,发出来也让大家一起进步。
- 启动方法
- 启动界面
- GUI界面
- 中间人攻击选项
- 其他选项
- Targets
- Current targets
- Select targets
- Protocol
- Reverse matching
- Wipe targets
- host
- View视图
- connections显示主机数
- Profiles显示主机信息
- Statistics
- 解析IP地址
- Visualization method可视化方法
- 可视化正则表达式
- 设置WIFI密码
- Filters
- Logging日志信息
- Plugins插件
- 管理插件
- arp_cop
- 它通过被动的监测网络上活跃的arp请求与响应,尝试arp毒化,或简单的IP-conflicts或IP-changes。如果构建初始化主机列表插件将运行更准确。
- autoadd自动在目标范围内添加新的受害者
- 它会自动添加在中间人攻击时arp毒化的新的受害者。在局域网上它寻找arp请求,当检测到它将主机添加到列表中。
- chk_poison检查中毒是否成功
- 它检查看看ettercap的arp毒化是成功的。它发送一个欺骗的ICMP echo数据包给所有中毒的攻击者冒充其他目标的每一个。如果我们能抓到一个ICMP响应中带着我们MAC地址,这意味着这两个目标之间的中毒是成功的。如果你在静默模式下仅指定一个目标,测试失败。不能再命令行运行这个插件,因为中毒还没有开始,必须从菜单正确的启动它。
- dns_spoof发送欺骗的DNS答复
- 这个插件拦截DNS查询并回复一个欺骗的结果。你需要修改IP地址来回应这查询通过修改etter.dns文件。插件将拦截A,PTR和MX请求。如果它是一个A请求,返回IP地址。如果是一个PTR请求,在文件中搜索ip并且这域名被返回(除了那些通配符)。MX请求需要一个精心准备一个特别的应答。主机通过一个虚假的主机'mail.host'来解决并且额外的记录包含的ip地址。返回一个地址或域名来匹配。要小心这顺序。
- dos_attack运行d.o.s.攻击IP地址
- 这插件运行一个dos攻击来攻击受害者的IP地址。它首先“扫描”受害者来发现开放的端口,然后开始使用一个虚假的源IP地址来洪水攻击那些端口通过SYN包,然后使用虚假主机来拦截arp响应,当它接到来自受害者,SYN-ACK回复ack包创建一个建立连接。你必须使用一个免费的IP地址在你的子网创建虚假的主机IP地址(可以使用find_ip).不能运行这个插件在unoffensive模式。这个插件基于原始的Naptha DoS攻击。
- 例如:ettercap -TQP dos_attack
- find_conn在交换局于网上搜索连接
- 非常简单的插件,监听所有主机arp请求。可以帮助自己找到在未知局域网的地址。
- ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn
- find_ettercap尝试查找ettercap活动
- 尝试确定ettercap局域网数据包发送。它可能是有用的检测是否有人使用etercap
- find_ip搜索子网中未使用的IP地址
- 在目标列表中查找用户指定范围内的第一个未使用的IP地址。其他一些插件(如greu-relay)需要一个未使用的局域网IP地址来创建一个“假”主机。在没有dhcp服务器的未知LAN中获取IP地址也很有用。您可以使用find_conn确定LAN的IP地址,然后查找IP。你必须建立主机列表才能使用这个插件,这样你就不能在非恶意模式下使用它。如果您的接口没有IP地址,请提供一个伪造的IP地址(例如,如果LAN为192.168.0.0/24,请使用10.0.0.1以避免IP冲突),然后启动此插件,指定子网范围。您可以从命令行或适当的菜单运行它。
- ettercap -TQP find_ip /192.168.0.1-254/
- finger_submit指纹获取
- 使用这个插件来提交指纹到ettercap网页。如果你发现一个未知的指纹,但你确定目标的操作系统,可以提交到ettercap的数据库中。
- 例如:ettercap -TzP finger_submit.
- gre_reply
- 此插件可用于嗅探 GRE 重定向的远程流量。基本思想是创建一个 GRE 隧道,将路由器接口上的所有流量发送到 ettercap 机器。该插件将把 GRE 数据包发送回路由器,经过 ettercap“操作”(您可以在重定向流量上使用“活动”插件,例如 smb_down、ssh 解密、过滤器等)它需要一个“假”主机,其中流量必须重定向到(以避免内核的响应)。“假”IP 将是隧道端点。Gre_relay 插件将模拟“假”主机。要为“假”主机查找未使用的 IP 地址,您可以使用 find_ip 插件。基于 Anthony C. Zboralski 在http://www.phrack.org/show.php?p=56&a=10 上由 HERT发表的原始 Tunnelx 技术。
- gw_discover
- 该插件通过尝试向远程主机发送 TCP SYN 数据包来发现 LAN 的网关。该数据包具有远程主机的目标 IP 和本地主机的目标 mac 地址。如果ettercap 收到SYN+ACK 数据包,则拥有回复源mac 地址的主机是网关。对“主机列表”中的每个主机重复此操作,因此在启动此插件之前您需要有一个有效的主机列表。
- ettercap -TP gw_discover /192.168.0.1-50/
- isolate
- 隔离插件会将主机与 LAN 隔离。它将使用与自己的mac 地址来毒害所有尝试与它连接的受害者的 arp 缓存。这样主机将无法联系其他主机,因为数据包永远无法到达
- 可以指定所有主机或仅指定一个组。目标规范是这样工作的:目标 1 是受害者并且必须是单个主机,目标 2 可以是一个地址范围并代表将被受害者阻止的主机。
- ettercap -TzqP isolate /192.168.0.1/ //
- ettercap -TP isolate /192.168.0.1/ /192.168.0.2-30/
- link_type
- 它通过发送欺骗性 ARP 请求并侦听回复来检查链路类型(集线器或交换机)。它至少需要主机列表中的一项才能执行检查。使用两个或更多主机时,嗅探会更准确。
- ettercap -TQP link_type /192.168.0.1/
- ettercap -TQP link_type //
- pptp_chapms1
- 它强制 pptp 隧道进行 MS-CHAPv1 身份验证而不是 MS-CHAPv2,这通常更容易破解(例如使用 LC4)。你必须处于连接的“中间”才能成功使用它。
- pptp_pap
- 它强制 pptp 隧道协商 PAP(明文)身份验证。如果不支持 PAP、缺少 pap_secret 文件或 Windows 配置为“自动使用域帐户”,则它可能会失败。(它也可能由于许多其他原因而失败)。所以必须处于连接的“中间”才能成功使用它。
- pptp_reneg
- 强制在现有 pptp 隧道上重新协商。您可以强制重新协商以获取已发送的密码。此外,您可以启动它以在现有隧道上使用 pptp_pap、pptp_chapms1 或 pptp_clear(这些插件仅在协商阶段工作)。必须处于连接的“中间”才能成功使用它。
- rand_flood
- 使用随机 MAC 地址淹没 LAN。某些开关在重复模式下会跳过,便于嗅探。每个数据包之间的延迟基于 etter.conf 中的 port_steal_send_delay 值。
- remote_browser
- 它将通过 HTTP 会话嗅探到的 URL 发送到浏览器。因此,您可以实时查看网页。执行的命令在etter.conf (5)文件中是可以配置的 。它仅向浏览器发送 GET 请求且仅针对网页,而忽略对图像或其他便利设施的单个请求。不要用它来查看你自己的连接:)
- reply_arp
- 简单的 arp 响应器。当它拦截对目标列表中主机的 arp 请求时,它会回复攻击者的 MAC 地址。
- ettercap -TQzP reply_arp /192.168.0.1/
- ettercap -TQzP reply_arp //
- repoison_arp
- 它在来自受感染主机的 ARP 请求(或回复)后请求中毒数据包。例如:我们正在中毒 Group1 冒充 Host2。如果 Host2 向 Host3 发出 ARP 请求,则 Group1 可能会缓存包含在 ARP 数据包中的 Host2 的正确 MAC 地址。该插件在合法 ARP 请求(或回复)后立即重新毒害 Group1 缓存。
- 结合reply_arp 插件,repoison_arp 是对标准arp 中毒mitm 方法的良好支持。
- ettercap -T -M arp:remote -P repoison_arp /192.168.0.10-20/ /192.168.0.1/
- scan_poisoner
- 检查列表中的某个主机和我们之间是否有人中毒。首先,它会检查列表中的两个主机是否具有相同的 mac 地址。这可能意味着其中一个正在毒害我们假装是另一个。它可能会在代理 arp 环境中产生许多误报。您必须构建主机列表才能执行此检查。之后,它会向列表中的每个主机发送 icmp 回显数据包,并检查回复的源 mac 地址是否与我们为该 ip 存储在列表中的地址不同。这可能意味着有人正在毒害该主机,假装拥有我们的 IP 地址并将截获的数据包转发给我们。您无法在非攻击模式下执行此主动测试。
- ettercap -TQP scan_poisoner //
- search_promisc
- 它试图找出是否有人在 promisc 模式下嗅探。它向主机列表中的每个目标发送两种不同类型的格式错误的 arp 请求并等待回复。如果来自目标主机的回复到达,则该目标或多或少可能具有处于 promisc 模式的 NIC。它可能会产生误报。您可以从命令行或插件菜单启动它。由于它侦听 arp 回复,因此最好不要在发送 arp 请求时使用它。
- ettercap -TQP search_promisc /192.168.0.1/
- ettercap -TQP search_promisc //
- smb_clear
- 它通过修改协议协商强制客户端以明文形式发送 smb 密码。您必须处于连接的“中间”才能成功使用它。它挂钩了 smb 解剖器,因此您必须使其保持活动状态。如果您将它用于 Windows 客户端,则可能会导致失败。在 *nix smbclient 上尝试一下 :)
- smb_down
- 它强制客户端在 smb 身份验证期间不使用 NTLM2 密码交换。这样,获得的哈希值可以很容易地被 LC4 破解。您必须处于连接的“中间”才能成功使用它。它挂钩了 smb 解剖器,因此您必须使其保持活动状态。
- stp_mangler
- 它冒充具有最高优先级的交换机发送生成 BPDUS树。一旦进入生成树的“根”,ettercap 就可以接收所有“非托管”网络流量。
- 如果有另一个具有最高优先级的交换机,请尝试在运行之前手动减少您的 MAC 地址。
- 插件管理译自:ettercap插件介绍 - blacksunny - 博客园
|