Author Topic: Ettercap filtri (TCP Out-Of-Order)  (Read 8049 times)

clshack

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • ClsHack | Blog
on: November 12, 2010, 05:23:40 PM
Backbox, essendo basata su ubuntu e sul suo kernel, si porta a dietro un problema che non sono MAI stato in grado di risolvere..   >:( >:( >:( >:(

Ho chiesto ovunque e non ho avuto nessun supporto.. o soluzione...

Utlizzando il MITM di ettercap sulla mia rete , l’ARP poisoning và a buon fine, con wireshark sniffo la connessione full duplex, il target ha la tabella arp modificata, e sniffo perfettamente i dati che passano tra il computer poisonato e il gateway.

Quando però cerco di fare injecting con i filtri di ettercap (ad esempio su: http://www.irongeek.com/i.php?page=security/ettercapfilter oppure sul mio blog... ), ettercap attiva il filtro poichè nella condizione stampo un messaggio ;)  ma effettivamente i dati non vengono modificati (ad eempio il codice html ) . Wireshark mi avverte che c’e’ qualche problema nei pacchetti che dovrebbe injectare, con il messaggio [TCP Out-Of-Order] ho usato diverse volte con ettercap e ho provato diversi filtri, ma non funziona.

Mentre su backtrack... il tutto funziona ...

Suggerimenti ?

Naturalmente i setting sono ok  ;D
« Last Edit: February 03, 2012, 08:27:42 PM by raffaele »



evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #1 on: November 12, 2010, 06:29:01 PM
mmm è da investigare, te la senti di registrarti sul bug tracker e aprire il relativo bug?



clshack

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • ClsHack | Blog
Reply #2 on: November 12, 2010, 06:36:20 PM
umm il problema è che quelli di backtrack hanno modificato qualcosa nel kernel da quello che mi han detto :D

Ho chiesto a emegent ma non mi ha risposto o.o tu evil, conoci white_sheep forse lui potrebbe darci una mano visto che fa parte dello staff di backtrack :D

Altrimenti posterò su launchpad qualcosa ;)



evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #3 on: November 12, 2010, 06:38:16 PM
se puoi forniscimi qui tutto l'output ed eventuali messaggi di dmesg quando succede l'errore ... se hanno fixato quelli di BT, non vedo xkè non possiamo farcela noi ;)



evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #4 on: November 12, 2010, 06:47:42 PM
Guarda cercando un po in giro, ho trovato che è un errore comune, quando si rimpiazza l'header (Accept Encoding) si usa il carattere ! che mi sa non può essere usato, ma nel replace degli header devi rimpiazzare i dati con lo stesso numero di byte, avendo usato ! ce n'è uno in meno e si sputtana tutto.
Cmq ora verifico ;)



clshack

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • ClsHack | Blog
Reply #5 on: November 12, 2010, 06:49:59 PM
Allora dovrebbe sputtanarsi anche su backtrack è :D

Comuqnue il filtro usato è il seguente:
Code: [Select]
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
  # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

Ora posto l'immagine di wireshark :D



evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #6 on: November 12, 2010, 06:50:52 PM
non se su BT è stata usata una patch di ettercap per aggirare questi problemi :)
non credo sia stata una mod al kernel



clshack

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • ClsHack | Blog
Reply #7 on: November 12, 2010, 06:55:05 PM
Ora provo subito a verificare quello che hai detto in tanto ecco l'immagine ;)

http://img293.imageshack.us/img293/2870/screenshottv.png



evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #8 on: November 12, 2010, 06:56:14 PM
intanto che mi preparo l'ambiente per i test, puoi provare a mettere una a al posto del ! e dirmi come va?



clshack

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • ClsHack | Blog
Reply #9 on: November 12, 2010, 07:03:34 PM
Mettendo la stessa lunghezza di Accept-Encoding non ricevo più errori ma non va o.o

Mentre, sostituendo da
Code: [Select]
replace("Accept-Encoding", "Accept-Rubbish!");
Il ! con una A ho sempre errori... 




evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #10 on: November 12, 2010, 07:05:20 PM
aspè aspè che ci stiamo avvicinando alla soluzione :)



clshack

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • ClsHack | Blog
Reply #11 on: November 12, 2010, 07:11:09 PM
no scherzavo o.o ricevo gli stessi errori di prima anche, andando su google immagini dopo 10 000 caricamenti e su wireshark 10 000 errori mi ha sostituito una immagine :D
una però .-.

Ci sentiamo fra un po perchè vado a mangiare ciao a dopo !



evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #12 on: November 12, 2010, 07:13:04 PM
ok io intanto continuo ad indagare :)



clshack

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • ClsHack | Blog
Reply #13 on: November 13, 2010, 02:33:20 PM
Novità evil ? :(



evilsocket

  • Full Member
  • ***
  • Posts: 177
    • View Profile
    • http://www.emoticode.net
Reply #14 on: November 14, 2010, 01:00:26 AM
non ancora, è stato aperto un bug nella relativa sezione ed assegnato a me, quando sarà fixato verrà annunciato ;)
per ora chiudo il topic riservandomi di riaprirlo qual'ora fosse nuovamente necessario per scambi di informazioni e/o nuove comunicazioni.