kali的Ettercap（0.8.3.1）

admin • 2021-11-21 22:05 • 安全

前言：最近在学kali，学到了dns劫持，上的课老师也是讲了一部分功能，我在网上想找一下别的功能，却发现这个Ettercap居然是20年新版，并没有什么详细信息，我就心血来潮写这篇笔记，让自己以后在复习的时候可以更快的回顾，发出来也让大家一起进步。
启动方法
- kali的终端中输入ettercap -G
启动界面
GUI界面
中间人攻击选项
其他选项
- Targets
  - Current targets
  - Select targets
  - Protocol
  - Reverse matching
  - Wipe targets
- host
- View视图
  - connections显示主机数
  - Profiles显示主机信息
  - Statistics
  - 解析IP地址
  - Visualization method可视化方法
  - 可视化正则表达式
  - 设置WIFI密码
- Filters
- Logging日志信息
- Plugins插件
  - 管理插件
    - arp_cop
      - 它通过被动的监测网络上活跃的arp请求与响应，尝试arp毒化，或简单的IP-conflicts或IP-changes。如果构建初始化主机列表插件将运行更准确。
      - 例如：ettercap -TQP arp_cop
    - autoadd自动在目标范围内添加新的受害者
      - 它会自动添加在中间人攻击时arp毒化的新的受害者。在局域网上它寻找arp请求，当检测到它将主机添加到列表中。
    - chk_poison检查中毒是否成功
      - 它检查看看ettercap的arp毒化是成功的。它发送一个欺骗的ICMP echo数据包给所有中毒的攻击者冒充其他目标的每一个。如果我们能抓到一个ICMP响应中带着我们MAC地址，这意味着这两个目标之间的中毒是成功的。如果你在静默模式下仅指定一个目标，测试失败。不能再命令行运行这个插件，因为中毒还没有开始，必须从菜单正确的启动它。
    - dns_spoof发送欺骗的DNS答复
      - 这个插件拦截DNS查询并回复一个欺骗的结果。你需要修改IP地址来回应这查询通过修改etter.dns文件。插件将拦截A,PTR和MX请求。如果它是一个A请求，返回IP地址。如果是一个PTR请求，在文件中搜索ip并且这域名被返回（除了那些通配符）。MX请求需要一个精心准备一个特别的应答。主机通过一个虚假的主机'mail.host'来解决并且额外的记录包含的ip地址。返回一个地址或域名来匹配。要小心这顺序。
    - dos_attack运行d.o.s.攻击IP地址
      - 这插件运行一个dos攻击来攻击受害者的IP地址。它首先“扫描”受害者来发现开放的端口，然后开始使用一个虚假的源IP地址来洪水攻击那些端口通过SYN包，然后使用虚假主机来拦截arp响应，当它接到来自受害者，SYN-ACK回复ack包创建一个建立连接。你必须使用一个免费的IP地址在你的子网创建虚假的主机IP地址（可以使用find_ip).不能运行这个插件在unoffensive模式。这个插件基于原始的Naptha DoS攻击。
      - 例如：ettercap -TQP dos_attack
    - dummy插件模板（面向开发人员）
    - find_conn在交换局于网上搜索连接
      - 非常简单的插件，监听所有主机arp请求。可以帮助自己找到在未知局域网的地址。
      - ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn
    - find_ettercap尝试查找ettercap活动
      - 尝试确定ettercap局域网数据包发送。它可能是有用的检测是否有人使用etercap
    - find_ip搜索子网中未使用的IP地址
      - 在目标列表中查找用户指定范围内的第一个未使用的IP地址。其他一些插件（如greu-relay）需要一个未使用的局域网IP地址来创建一个“假”主机。在没有dhcp服务器的未知LAN中获取IP地址也很有用。您可以使用find_conn确定LAN的IP地址，然后查找IP。你必须建立主机列表才能使用这个插件，这样你就不能在非恶意模式下使用它。如果您的接口没有IP地址，请提供一个伪造的IP地址（例如，如果LAN为192.168.0.0/24，请使用10.0.0.1以避免IP冲突），然后启动此插件，指定子网范围。您可以从命令行或适当的菜单运行它。
      - *比如
      - ettercap -TQP find_ip //
      - ettercap -TQP find_ip /192.168.0.1-254/
    - finger_submit指纹获取
      - 使用这个插件来提交指纹到ettercap网页。如果你发现一个未知的指纹，但你确定目标的操作系统，可以提交到ettercap的数据库中。
      - 例如：ettercap -TzP finger_submit.
    - gre_reply
      - 此插件可用于嗅探 GRE 重定向的远程流量。基本思想是创建一个 GRE 隧道，将路由器接口上的所有流量发送到 ettercap 机器。该插件将把 GRE 数据包发送回路由器，经过 ettercap“操作”（您可以在重定向流量上使用“活动”插件，例如 smb_down、ssh 解密、过滤器等）它需要一个“假”主机，其中流量必须重定向到（以避免内核的响应）。“假”IP 将是隧道端点。Gre_relay 插件将模拟“假”主机。要为“假”主机查找未使用的 IP 地址，您可以使用 find_ip 插件。基于 Anthony C. Zboralski 在http://www.phrack.org/show.php?p=56&a=10 上由 HERT发表的原始 Tunnelx 技术。
      - PS:目前我不太懂
    - gw_discover
      - 该插件通过尝试向远程主机发送 TCP SYN 数据包来发现 LAN 的网关。该数据包具有远程主机的目标 IP 和本地主机的目标 mac 地址。如果ettercap 收到SYN+ACK 数据包，则拥有回复源mac 地址的主机是网关。对“主机列表”中的每个主机重复此操作，因此在启动此插件之前您需要有一个有效的主机列表。
      - 例子：
      - ettercap -TP gw_discover /192.168.0.1-50/
    - isolate
      - 隔离插件会将主机与 LAN 隔离。它将使用与自己的mac 地址来毒害所有尝试与它连接的受害者的 arp 缓存。这样主机将无法联系其他主机，因为数据包永远无法到达
      - 可以指定所有主机或仅指定一个组。目标规范是这样工作的：目标 1 是受害者并且必须是单个主机，目标 2 可以是一个地址范围并代表将被受害者阻止的主机。
      - examples :
      - ettercap -TzqP isolate /192.168.0.1/ //
      - ettercap -TP isolate /192.168.0.1/ /192.168.0.2-30/
    - link_type
      - 它通过发送欺骗性 ARP 请求并侦听回复来检查链路类型（集线器或交换机）。它至少需要主机列表中的一项才能执行检查。使用两个或更多主机时，嗅探会更准确。
      - example :
      - ettercap -TQP link_type /192.168.0.1/
      - ettercap -TQP link_type //
    - pptp_chapms1
      - 它强制 pptp 隧道进行 MS-CHAPv1 身份验证而不是 MS-CHAPv2，这通常更容易破解（例如使用 LC4）。你必须处于连接的“中间”才能成功使用它。
    - pptp_pap
      - 它强制 pptp 隧道协商 PAP（明文）身份验证。如果不支持 PAP、缺少 pap_secret 文件或 Windows 配置为“自动使用域帐户”，则它可能会失败。（它也可能由于许多其他原因而失败）。所以必须处于连接的“中间”才能成功使用它。
    - pptp_reneg
      - 强制在现有 pptp 隧道上重新协商。您可以强制重新协商以获取已发送的密码。此外，您可以启动它以在现有隧道上使用 pptp_pap、pptp_chapms1 或 pptp_clear（这些插件仅在协商阶段工作）。必须处于连接的“中间”才能成功使用它。
    - rand_flood
      - 使用随机 MAC 地址淹没 LAN。某些开关在重复模式下会跳过，便于嗅探。每个数据包之间的延迟基于 etter.conf 中的 port_steal_send_delay 值。
      - 它仅在以太网交换机上有用。
      - 例子：
      - ettercap -TP rand_flood
    - remote_browser
      - 它将通过 HTTP 会话嗅探到的 URL 发送到浏览器。因此，您可以实时查看网页。执行的命令在etter.conf (5)文件中是可以配置的。它仅向浏览器发送 GET 请求且仅针对网页，而忽略对图像或其他便利设施的单个请求。不要用它来查看你自己的连接:)
    - reply_arp
      - 简单的 arp 响应器。当它拦截对目标列表中主机的 arp 请求时，它会回复攻击者的 MAC 地址。
      - 例子：
      - ettercap -TQzP reply_arp /192.168.0.1/
      - ettercap -TQzP reply_arp //
    - repoison_arp
      - 它在来自受感染主机的 ARP 请求（或回复）后请求中毒数据包。例如：我们正在中毒 Group1 冒充 Host2。如果 Host2 向 Host3 发出 ARP 请求，则 Group1 可能会缓存包含在 ARP 数据包中的 Host2 的正确 MAC 地址。该插件在合法 ARP 请求（或回复）后立即重新毒害 Group1 缓存。
      - 此插件仅在 arp 定位会话期间有效。
      - 结合reply_arp 插件，repoison_arp 是对标准arp 中毒mitm 方法的良好支持。
      - 例子：
      - ettercap -T -M arp:remote -P repoison_arp /192.168.0.10-20/ /192.168.0.1/
    - scan_poisoner
      - 检查列表中的某个主机和我们之间是否有人中毒。首先，它会检查列表中的两个主机是否具有相同的 mac 地址。这可能意味着其中一个正在毒害我们假装是另一个。它可能会在代理 arp 环境中产生许多误报。您必须构建主机列表才能执行此检查。之后，它会向列表中的每个主机发送 icmp 回显数据包，并检查回复的源 mac 地址是否与我们为该 ip 存储在列表中的地址不同。这可能意味着有人正在毒害该主机，假装拥有我们的 IP 地址并将截获的数据包转发给我们。您无法在非攻击模式下执行此主动测试。
      - 例子：
      - ettercap -TQP scan_poisoner //
    - search_promisc
      - 它试图找出是否有人在 promisc 模式下嗅探。它向主机列表中的每个目标发送两种不同类型的格式错误的 arp 请求并等待回复。如果来自目标主机的回复到达，则该目标或多或少可能具有处于 promisc 模式的 NIC。它可能会产生误报。您可以从命令行或插件菜单启动它。由于它侦听 arp 回复，因此最好不要在发送 arp 请求时使用它。
      - 例子：
      - ettercap -TQP search_promisc /192.168.0.1/
      - ettercap -TQP search_promisc //
    - smb_clear
      - 它通过修改协议协商强制客户端以明文形式发送 smb 密码。您必须处于连接的“中间”才能成功使用它。它挂钩了 smb 解剖器，因此您必须使其保持活动状态。如果您将它用于 Windows 客户端，则可能会导致失败。在 *nix smbclient 上尝试一下 🙂
    - smb_down
      - 它强制客户端在 smb 身份验证期间不使用 NTLM2 密码交换。这样，获得的哈希值可以很容易地被 LC4 破解。您必须处于连接的“中间”才能成功使用它。它挂钩了 smb 解剖器，因此您必须使其保持活动状态。
    - stp_mangler
      - 它冒充具有最高优先级的交换机发送生成 BPDUS树。一旦进入生成树的“根”，ettercap 就可以接收所有“非托管”网络流量。
      - 它仅对运行 STP 的一组交换机有用。
      - 如果有另一个具有最高优先级的交换机，请尝试在运行之前手动减少您的 MAC 地址。
      - 例子：
      - ettercap -TP stp_mangler
插件管理译自：ettercap插件介绍 - blacksunny - 博客园