Author Topic: Ettercap filtri (TCP Out-Of-Order) (Read 7967 times)

clshack · **on:** November 12, 2010, 05:23:40 PM

Backbox, essendo basata su ubuntu e sul suo kernel, si porta a dietro un problema che non sono MAI stato in grado di risolvere..

Ho chiesto ovunque e non ho avuto nessun supporto.. o soluzione...

Utlizzando il MITM di ettercap sulla mia rete , lâ€™ARP poisoning vÃ a buon fine, con wireshark sniffo la connessione full duplex, il target ha la tabella arp modificata, e sniffo perfettamente i dati che passano tra il computer poisonato e il gateway.

Quando perÃ² cerco di fare injecting con i filtri di ettercap (ad esempio su: http://www.irongeek.com/i.php?page=security/ettercapfilter oppure sul mio blog... ), ettercap attiva il filtro poichÃ¨ nella condizione stampo un messaggio

ma effettivamente i dati non vengono modificati (ad eempio il codice html ) . Wireshark mi avverte che câ€™eâ€™ qualche problema nei pacchetti che dovrebbe injectare, con il messaggio [TCP Out-Of-Order] ho usato diverse volte con ettercap e ho provato diversi filtri, ma non funziona.

Mentre su backtrack... il tutto funziona ...

Suggerimenti ?

Naturalmente i setting sono ok

evilsocket · **Reply #1 on:** November 12, 2010, 06:29:01 PM

mmm Ã¨ da investigare, te la senti di registrarti sul bug tracker e aprire il relativo bug?

clshack · **Reply #2 on:** November 12, 2010, 06:36:20 PM

umm il problema Ã¨ che quelli di backtrack hanno modificato qualcosa nel kernel da quello che mi han detto

Ho chiesto a emegent ma non mi ha risposto o.o tu evil, conoci white_sheep forse lui potrebbe darci una mano visto che fa parte dello staff di backtrack

Altrimenti posterÃ² su launchpad qualcosa

evilsocket · **Reply #3 on:** November 12, 2010, 06:38:16 PM

se puoi forniscimi qui tutto l'output ed eventuali messaggi di dmesg quando succede l'errore ... se hanno fixato quelli di BT, non vedo xkÃ¨ non possiamo farcela noi

evilsocket · **Reply #4 on:** November 12, 2010, 06:47:42 PM

Guarda cercando un po in giro, ho trovato che Ã¨ un errore comune, quando si rimpiazza l'header (Accept Encoding) si usa il carattere ! che mi sa non puÃ² essere usato, ma nel replace degli header devi rimpiazzare i dati con lo stesso numero di byte, avendo usato ! ce n'Ã¨ uno in meno e si sputtana tutto.
Cmq ora verifico

clshack · **Reply #5 on:** November 12, 2010, 06:49:59 PM

Allora dovrebbe sputtanarsi anche su backtrack Ã¨

Comuqnue il filtro usato Ã¨ il seguente:

Code: [Select]

if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
	  # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

Ora posto l'immagine di wireshark

evilsocket · **Reply #6 on:** November 12, 2010, 06:50:52 PM

non se su BT Ã¨ stata usata una patch di ettercap per aggirare questi problemi

non credo sia stata una mod al kernel

clshack · **Reply #7 on:** November 12, 2010, 06:55:05 PM

Ora provo subito a verificare quello che hai detto in tanto ecco l'immagine

http://img293.imageshack.us/img293/2870/screenshottv.png

evilsocket · **Reply #8 on:** November 12, 2010, 06:56:14 PM

intanto che mi preparo l'ambiente per i test, puoi provare a mettere una a al posto del ! e dirmi come va?

clshack · **Reply #9 on:** November 12, 2010, 07:03:34 PM

Mettendo la stessa lunghezza di Accept-Encoding non ricevo piÃ¹ errori ma non va o.o

Mentre, sostituendo da

Code: [Select]

replace("Accept-Encoding", "Accept-Rubbish!");
Il ! con una A ho sempre errori...

evilsocket · **Reply #10 on:** November 12, 2010, 07:05:20 PM

aspÃ¨ aspÃ¨ che ci stiamo avvicinando alla soluzione

clshack · **Reply #11 on:** November 12, 2010, 07:11:09 PM

no scherzavo o.o ricevo gli stessi errori di prima anche, andando su google immagini dopo 10 000 caricamenti e su wireshark 10 000 errori mi ha sostituito una immagine

una perÃ² .-.

Ci sentiamo fra un po perchÃ¨ vado a mangiare ciao a dopo !

evilsocket · **Reply #12 on:** November 12, 2010, 07:13:04 PM

ok io intanto continuo ad indagare

clshack · **Reply #13 on:** November 13, 2010, 02:33:20 PM

NovitÃ evil ?

evilsocket · **Reply #14 on:** November 14, 2010, 01:00:26 AM

non ancora, Ã¨ stato aperto un bug nella relativa sezione ed assegnato a me, quando sarÃ fixato verrÃ annunciato

per ora chiudo il topic riservandomi di riaprirlo qual'ora fosse nuovamente necessario per scambi di informazioni e/o nuove comunicazioni.

Author Topic: Ettercap filtri (TCP Out-Of-Order) (Read 7967 times)

clshack

Ettercap filtri (TCP Out-Of-Order)

evilsocket

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

clshack

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

evilsocket

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

evilsocket

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

clshack

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

evilsocket

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

clshack

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

evilsocket

Re: [ERRORE]Ettercap filtri [TCP Out-Of-Order]

clshack

Re: [ERRORE] Ettercap filtri [TCP Out-Of-Order]

evilsocket

Re: [ERRORE] Ettercap filtri [TCP Out-Of-Order]

clshack

Re: [ERRORE] Ettercap filtri [TCP Out-Of-Order]

evilsocket

Re: [ERRORE] Ettercap filtri [TCP Out-Of-Order]

clshack

Re: [ERRORE] Ettercap filtri [TCP Out-Of-Order]

evilsocket

Re: [ERRORE] Ettercap filtri [TCP Out-Of-Order]