Ettercap filtri (TCP Out-Of-Order)

[clshack]

Backbox, essendo basata su ubuntu e sul suo kernel, si porta a dietro un problema che non sono MAI stato in grado di risolvere..   >:( >:( >:( >:(

Ho chiesto ovunque e non ho avuto nessun supporto.. o soluzione...

Utlizzando il MITM di ettercap sulla mia rete , l’ARP poisoning và a buon fine, con wireshark sniffo la connessione full duplex, il target ha la tabella arp modificata, e sniffo perfettamente i dati che passano tra il computer poisonato e il gateway.

Quando però cerco di fare injecting con i filtri di ettercap (ad esempio su: http://www.irongeek.com/i.php?page=security/ettercapfilter oppure sul mio blog... ), ettercap attiva il filtro poichè nella condizione stampo un messaggio ;)  ma effettivamente i dati non vengono modificati (ad eempio il codice html ) . Wireshark mi avverte che c’e’ qualche problema nei pacchetti che dovrebbe injectare, con il messaggio [TCP Out-Of-Order] ho usato diverse volte con ettercap e ho provato diversi filtri, ma non funziona.

Mentre su backtrack... il tutto funziona ...

Suggerimenti ?

Naturalmente i setting sono ok  ;D

[evilsocket]

mmm è da investigare, te la senti di registrarti sul bug tracker e aprire il relativo bug?

[clshack]

umm il problema è che quelli di backtrack hanno modificato qualcosa nel kernel da quello che mi han detto :D

Ho chiesto a emegent ma non mi ha risposto o.o tu evil, conoci white_sheep forse lui potrebbe darci una mano visto che fa parte dello staff di backtrack :D

Altrimenti posterò su launchpad qualcosa ;)

[evilsocket]

se puoi forniscimi qui tutto l'output ed eventuali messaggi di dmesg quando succede l'errore ... se hanno fixato quelli di BT, non vedo xkè non possiamo farcela noi ;)

[evilsocket]

Guarda cercando un po in giro, ho trovato che è un errore comune, quando si rimpiazza l'header (Accept Encoding) si usa il carattere ! che mi sa non può essere usato, ma nel replace degli header devi rimpiazzare i dati con lo stesso numero di byte, avendo usato ! ce n'è uno in meno e si sputtana tutto.
Cmq ora verifico ;)

[clshack]

Allora dovrebbe sputtanarsi anche su backtrack è :D

Comuqnue il filtro usato è il seguente:

Code Select Expand


if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
  # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}


Ora posto l'immagine di wireshark :D

[evilsocket]

non se su BT è stata usata una patch di ettercap per aggirare questi problemi :)
non credo sia stata una mod al kernel

[clshack]

Ora provo subito a verificare quello che hai detto in tanto ecco l'immagine ;)

http://img293.imageshack.us/img293/2870/screenshottv.png

[evilsocket]

intanto che mi preparo l'ambiente per i test, puoi provare a mettere una a al posto del ! e dirmi come va?

[clshack]

Mettendo la stessa lunghezza di Accept-Encoding non ricevo più errori ma non va o.o

Mentre, sostituendo da

Code Select Expand

replace("Accept-Encoding", "Accept-Rubbish!");

Il ! con una A ho sempre errori... 

[evilsocket]

aspè aspè che ci stiamo avvicinando alla soluzione :)

[clshack]

no scherzavo o.o ricevo gli stessi errori di prima anche, andando su google immagini dopo 10 000 caricamenti e su wireshark 10 000 errori mi ha sostituito una immagine :D
una però .-.

Ci sentiamo fra un po perchè vado a mangiare ciao a dopo !

[evilsocket]

ok io intanto continuo ad indagare :)

[clshack]

Novità evil ? :(

[evilsocket]

non ancora, è stato aperto un bug nella relativa sezione ed assegnato a me, quando sarà fixato verrà annunciato ;)
per ora chiudo il topic riservandomi di riaprirlo qual'ora fosse nuovamente necessario per scambi di informazioni e/o nuove comunicazioni.