comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Ettercap me tumba la conexion

  • 7 Respuestas
  • 2602 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Conectado D4RKS0N1K

  • *
  • Underc0der
  • Mensajes: 119
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Septiembre 11, 2015, 01:19:25 am »
Muy buenas os expongo mi caso.

Estoy utilizado una distribución de Kali Linux y en concreto la utilidad setoolkit en mi red wifi. Tengo un portátil que es la maquina atacante y un pc de sobremesa conectado por cable que es la victima.
Cuando clono la web, sea cual sea y entro a través de mi ip, por ejemplo 192.168.1.93 se muestra la pagina clonada y al introducir el login dicho login se guarda en apache_dir/harvester_date.txt , hasta aqui todo bien.Ahora , cuando inicio el ettercap y selecciono las maquinas a atacar pierdo la conexión a internet, y en el pc de sobremesa tambien, y me gustaria saber a que se debe.
Este es mi archivo etter.dns ubicado en /etc/ettercap/etter.dns donde 192.168.1.93 también la he puesto para exponeros el caso pero realmente tengo puesta la autentica.

Código: Text
  1. ############################################################################
  2. #                                                                          #
  3. #  ettercap -- etter.dns -- host file for dns_spoof plugin                 #
  4. #                                                                          #
  5. #  Copyright (C) ALoR & NaGA                                               #
  6. #                                                                          #
  7. #  This program is free software; you can redistribute it and/or modify    #
  8. #  it under the terms of the GNU General Public License as published by    #
  9. #  the Free Software Foundation; either version 2 of the License, or       #
  10. #  (at your option) any later version.                                     #
  11. #                                                                          #
  12. ############################################################################
  13. #                                                                          #
  14. # Sample hosts file for dns_spoof plugin                                   #
  15. #                                                                          #
  16. # the format is (for A query):                                             #
  17. #   www.myhostname.com A 168.11.22.33                                      #
  18. #   *.foo.com          A 168.44.55.66                                      #
  19. #                                                                          #
  20. # ... for a AAAA query (same hostname allowed):                            #
  21. #   www.myhostname.com AAAA 2001:db8::1                                    #
  22. #   *.foo.com          AAAA 2001:db8::2                                    #
  23. #                                                                          #
  24. # or to skip a protocol family (useful with dual-stack):                   #
  25. #   www.hotmail.com    AAAA ::                                             #
  26. #   www.yahoo.com      A    0.0.0.0                                        #
  27. #                                                                          #
  28. # or for PTR query:                                                        #
  29. #   www.bar.com    PTR 10.0.0.10                                           #
  30. #   www.google.com PTR ::1                                                 #
  31. #                                                                          #
  32. # or for MX query (either IPv4 or IPv6):                                   #
  33. #    domain.com MX xxx.xxx.xxx.xxx                                         #
  34. #    domain2.com MX xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx                #
  35. #    domain3.com MX xxxx:xxxx::y                                           #
  36. #                                                                          #
  37. # or for WINS query:                                                       #
  38. #    workgroup WINS 127.0.0.1                                              #
  39. #    PC*       WINS 127.0.0.1                                              #
  40. #                                                                          #
  41. # or for SRV query (either IPv4 or IPv6):                                  #
  42. #    service._tcp|_udp.domain SRV 192.168.1.10:port                        #
  43. #    service._tcp|_udp.domain SRV [2001:db8::3]:port                       #
  44. #                                                                          #
  45. # NOTE: the wildcarded hosts can't be used to poison the PTR requests      #
  46. #       so if you want to reverse poison you have to specify a plain       #
  47. #       host. (look at the www.microsoft.com example)                      #
  48. #                                                                          #
  49. ############################################################################
  50.  
  51. ################################
  52. # microsoft sucks ;)
  53. # redirect it to www.linux.org
  54. #
  55.  
  56. facebook.com      A   192.168.1.93
  57. *.facebook.com    A   192.168.1.93
  58. www.facebook.com  192.168.1.93      # Wildcards in PTR are not allowed
  59.  
  60. ##########################################
  61. # no one out there can have our domains...
  62. #
  63.  
  64. www.alor.org  A 127.0.0.1
  65. www.naga.org  A 127.0.0.1
  66. www.naga.org  AAAA 2001:db8::2
  67.  
  68. ##########################################
  69. # dual stack enabled hosts does not make life easy
  70. # force them back to single stack
  71.  
  72. www.ietf.org   A    127.0.0.1
  73. www.ietf.org   AAAA ::
  74.  
  75. www.example.org  A    0.0.0.0
  76. www.example.org  AAAA ::1
  77.  
  78. ###############################################
  79. # one day we will have our ettercap.org domain
  80. #
  81.  
  82. www.ettercap.org           A  127.0.0.1
  83. www.ettercap-project.org   A  127.0.0.1
  84. ettercap.sourceforge.net   A  216.136.171.201
  85. www.ettercap.org           PTR ::1
  86.  
  87. ###############################################
  88. # some MX examples
  89. #
  90.  
  91. alor.org   MX  127.0.0.1
  92. naga.org   MX  127.0.0.1
  93. example.org MX 127.0.0.2
  94. microsoft.com MX 2001:db8::1ce:c01d:bee3
  95.  
  96. ###############################################
  97. # This messes up NetBIOS clients using DNS
  98. # resolutions. I.e. Windows/Samba file sharing.
  99. #
  100.  
  101. LAB-PC*  WINS  127.0.0.1
  102.  
  103. ###############################################
  104. # some service discovery examples
  105.  
  106. xmpp-server._tcp.jabber.org SRV 192.168.1.10:5269    
  107. ldap._udp.mynet.com SRV [2001:db8:c001:beef::1]:389  
  108.  
  109.  
  110. # vim:ts=8:noexpandtab
  111.  

Me han asaltado muchas dudas.A la hora de facilitar la url a clonar seria corrector poner www.facebook.com o https://facebook.com
Además, en la interfaz de ettercap en unos sitios he leído que la víctima es el target 1 y en otros que en Tarhet 1 vas tu y en Target 2 la víctima. Como es la correspondencia?
He seguido a rajatabla estos vídeos
,
amen de mas documentación, a ver si podéis echarme una mano que son las 5:30 y llevo toda la noche ofuscado con esto jajajaja

PD: No estoy usando la 2.0 de kali linux, sino la anterior

Un saludo!
« Última modificación: Septiembre 13, 2015, 02:31:43 am por EPSILON »

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #1 en: Septiembre 11, 2015, 07:31:12 am »
Lo que comentas suena muy raro, pero lo primero que comprobaría es que tengas activado ip forwarding.
Comprueba el estado con:
Código: [Seleccionar]
cat /proc/sys/net/ipv4/ip_forwardSi está en 0 está desactivado, si está en 1 debería funcionar, el error tendría que estar en otra parte.
Si está a 0 activarlo es tan fácil como teclear:
Código: [Seleccionar]
echo "1" >/proc/sys/net/ipv4/ip_forward
Con respecto a tu inquietud:
Además, en la interfaz de ettercap en unos sitios he leído que la víctima es el target 1 y en otros que en Tarhet 1 vas tu y en Target 2 la víctima. Como es la correspondencia?
Si revisamos el manual completo de ettercap (Con el comando man ettercap) nos encontramos con el siguiente párrafo:
Citar
TARGET SPECIFICATION
       There is no concept of SOURCE nor DEST. The two targets are intended to filter traffic coming from one to the other and vice-versa (since the connection is bidirectional).

       TARGET is in the form MAC/IPs/PORTs.
       NOTE: If IPv6 is enabled, TARGET is in the form MAC/IPs/IPv6/PORTs.

       If you want you can omit any of its parts and this will represent an ANY in that part.
       e.g.
       "//80" means ANY mac address, ANY ip and ONLY port 80
       "/10.0.0.1/" means ANY mac address, ONLY ip 10.0.0.1 and ANY port

       MAC must be unique and in the form 00:11:22:33:44:55

       IPs is a range of IP in dotted notation. You can specify range with the - (hyphen) and single ip with , (comma). You can also use ; (semicolon) to indicate different ip addresses.
       e.g.
       "10.0.0.1-5;10.0.1.33" expands into ip 10.0.0.1, 2, 3, 4, 5 and 10.0.1.33

       PORTs is a range of PORTS. You can specify range with the - (hyphen) and single port with , (comma).
       e.g.
       "20-25,80,110" expands into ports 20, 21, 22, 23, 24, 25, 80 and 110

       NOTE:
       you can reverse the matching of the TARGET by adding the -R option to the command line. So if you want to sniff ALL the traffic BUT the one coming or going to 10.0.0.1 you can specify "./ettercap -R /10.0.0.1/"

       NOTE:
       TARGETs are also responsible of the initial scan of the lan. You can use them to restrict the scan to only a subset of the hosts in the netmask. The result of the merging between the two targets  will  be  scanned.  remember
       that not specifying a target means "no target", but specifying "//" means "all the hosts in the subnet".
Como podemos ver a pie del título del tema: There is no concept of SOURCE nor DEST. The two targets are intended to filter traffic coming from one to the other and vice-versa (since the connection is bidirectional). Así que no hay ORIGEN ni DESTINO, por lo que no debes preocuparte por eso. ;)

-- EDIT--
En el archivo etter.dns se ve que intentas redirigir Facebook a una máquina en tu red local.
facebook.com      A   192.168.1.93
*.facebook.com    A   192.168.1.93
www.facebook.com  192.168.1.93      # Wildcards in PTR are not allowed
Pero ahora el que tiene una duda soy yo: ¿setoolkit no ponía el servidor a la escucha en un puerto diferente al 80? Tal vez tengas que añadir un trabajo de redirección en la tabla nat de iptables.
No sé si te estoy siendo de ayuda. Cuando algo no me funciona directamente empiezo a toquetearlo TODO hasta que algo pase, por eso intento buscar todas las posibilidades a la vista. Si nos vas comentando quizá lleguemos a buen puerto (Yo también tuve un cara a cara bastante duro con ettercap, es una herramienta "fácil", pero no tanto).
« Última modificación: Septiembre 11, 2015, 07:45:10 am por rand0m »
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Conectado D4RKS0N1K

  • *
  • Underc0der
  • Mensajes: 119
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Septiembre 11, 2015, 09:00:37 am »
Buenas!Lo primero gracias por responder @rand0m

Pues efectivamente probe con el comando cat /proc/sys/net/ipv4/ip_forward y daba 0.Lo curioso es , que cuando usaba echo "1" >/proc/sys/net/ipv4/ip_forward para cambiar ese valor a 1, iniciaba el ataque en mi red local con ettercap y setoolkit y al volver a comprobar el valor me devolv'ia 0.Y de resto igual, consigo sin hacer que funcione

Un saludo

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #3 en: Septiembre 11, 2015, 11:39:51 am »
Pues efectivamente probe con el comando cat /proc/sys/net/ipv4/ip_forward y daba 0.Lo curioso es , que cuando usaba echo "1" >/proc/sys/net/ipv4/ip_forward para cambiar ese valor a 1, iniciaba el ataque en mi red local con ettercap y setoolkit y al volver a comprobar el valor me devolv'ia 0
Que raro. ¿Estás haciendo el echo con permisos de root?
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado zupa

  • *
  • Underc0der
  • Mensajes: 60
  • Actividad:
    0%
  • Reputación 0
  • Hacktivism is life
    • Ver Perfil
« Respuesta #4 en: Septiembre 12, 2015, 12:48:28 am »
Como opcion y para descartar te recomiendo que verifiques la configuracion del set. Tengo entendido que el archivo es conocido como" set_config".

Conectado D4RKS0N1K

  • *
  • Underc0der
  • Mensajes: 119
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Septiembre 13, 2015, 02:19:07 pm »
Pues efectivamente probe con el comando cat /proc/sys/net/ipv4/ip_forward y daba 0.Lo curioso es , que cuando usaba echo "1" >/proc/sys/net/ipv4/ip_forward para cambiar ese valor a 1, iniciaba el ataque en mi red local con ettercap y setoolkit y al volver a comprobar el valor me devolv'ia 0
Que raro. ¿Estás haciendo el echo con permisos de root?

Buenas
Como me indicaste use el comando whoami y me devuelve como resultado root ademas de salir la almohadilla que me mencionabas
Y lo que dice Zupa, use locate y gedit para abrir el archivo config set y lo primero que pone es que no se edite ese archivo pero me veo opciones como , ETTERCAP_INTERFACE="eth0" donde realmente es wlan0
ETTERCAP=False
WEB_PORT=80
HARVESTER_REDIRECT=False
HARVESTER_URL="http://thisisasite"

debo cambiar esos valores tal vez?

Desconectado zupa

  • *
  • Underc0der
  • Mensajes: 60
  • Actividad:
    0%
  • Reputación 0
  • Hacktivism is life
    • Ver Perfil
« Respuesta #6 en: Septiembre 13, 2015, 11:38:58 pm »
Si debes modificarlos, lo mas probable por eso estas teniendo el inconveniente.

"ETTERCAP= ON o True"

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #7 en: Septiembre 14, 2015, 11:40:03 pm »
use locate y gedit para abrir el archivo config set y lo primero que pone es que no se edite ese archivo
Cuando en un archivo de configuración pone eso lo que quiere decir es que guardes una copia de seguridad por si al final rompemos con todo. Pero que ninguna recomendación de un archivo de texto te desanime a tocar todo lo que puedas.
Si rompe, se restaura la configuración original y se vuelve a intentar.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

 

¿Te gustó el post? COMPARTILO!



bufferoverflow "conexión invalida"

Iniciado por proxy_lainux

Respuestas: 1
Vistas: 569
Último mensaje Abril 01, 2018, 06:09:17 am
por blackdrake
Cuestión entre Conexión entre dos routers, dos redes.

Iniciado por erdosain9

Respuestas: 1
Vistas: 858
Último mensaje Marzo 08, 2016, 07:27:08 pm
por Abraham20
[SOLUCIONADO] Virtualbox "virtualiza" mi conexión wifi como wired

Iniciado por Emevol

Respuestas: 4
Vistas: 1101
Último mensaje Febrero 04, 2017, 02:01:53 pm
por Emevol
[SOLUCIONADO] Comó agregar una conexion de red banda ancha movil en Backtrack?

Iniciado por Naab

Respuestas: 7
Vistas: 3016
Último mensaje Noviembre 19, 2012, 11:45:54 pm
por Snifer
[SOLUCIONADO] Ayuda con error en socket para conexión reversa

Iniciado por Adalher

Respuestas: 2
Vistas: 1186
Último mensaje Julio 11, 2017, 02:38:05 pm
por Adalher