Ettercap me tumba la conexion

D4RKS0N1K · Septiembre 11, 2015, 01:19:25 AM

Muy buenas os expongo mi caso.

Estoy utilizado una distribución de Kali Linux y en concreto la utilidad setoolkit en mi red wifi. Tengo un portátil que es la maquina atacante y un pc de sobremesa conectado por cable que es la victima.
Cuando clono la web, sea cual sea y entro a través de mi ip, por ejemplo 192.168.1.93 se muestra la pagina clonada y al introducir el login dicho login se guarda en apache_dir/harvester_date.txt , hasta aqui todo bien.Ahora , cuando inicio el ettercap y selecciono las maquinas a atacar pierdo la conexión a internet, y en el pc de sobremesa tambien, y me gustaria saber a que se debe.
Este es mi archivo etter.dns ubicado en /etc/ettercap/etter.dns donde 192.168.1.93 también la he puesto para exponeros el caso pero realmente tengo puesta la autentica.

Código: text

############################################################################
#                                                                          #
#  ettercap -- etter.dns -- host file for dns_spoof plugin                 #
#                                                                          #
#  Copyright (C) ALoR & NaGA                                               #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
#                                                                          #
# Sample hosts file for dns_spoof plugin                                   #
#                                                                          #
# the format is (for A query):                                             #
#   www.myhostname.com A 168.11.22.33                                      #
#   *.foo.com          A 168.44.55.66                                      #
#                                                                          #
# ... for a AAAA query (same hostname allowed):                            #
#   www.myhostname.com AAAA 2001:db8::1                                    #
#   *.foo.com          AAAA 2001:db8::2                                    #
#                                                                          #
# or to skip a protocol family (useful with dual-stack):                   #
#   www.hotmail.com    AAAA ::                                             #
#   www.yahoo.com      A    0.0.0.0                                        #
#                                                                          #
# or for PTR query:                                                        #
#   www.bar.com    PTR 10.0.0.10                                           #
#   www.google.com PTR ::1                                                 #
#                                                                          #
# or for MX query (either IPv4 or IPv6):                                   #
#    domain.com MX xxx.xxx.xxx.xxx                                         #
#    domain2.com MX xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx                #
#    domain3.com MX xxxx:xxxx::y                                           #
#                                                                          #
# or for WINS query:                                                       #
#    workgroup WINS 127.0.0.1                                              #
#    PC*       WINS 127.0.0.1                                              #
#                                                                          #
# or for SRV query (either IPv4 or IPv6):                                  #
#    service._tcp|_udp.domain SRV 192.168.1.10:port                        #
#    service._tcp|_udp.domain SRV [2001:db8::3]:port                       #
#                                                                          #
# NOTE: the wildcarded hosts can't be used to poison the PTR requests      #
#       so if you want to reverse poison you have to specify a plain       #
#       host. (look at the www.microsoft.com example)                      #
#                                                                          #
############################################################################

################################
# microsoft sucks ;)
# redirect it to www.linux.org
#

facebook.com      A   192.168.1.93 
*.facebook.com    A   192.168.1.93
www.facebook.com  192.168.1.93      # Wildcards in PTR are not allowed

##########################################
# no one out there can have our domains...
#

www.alor.org  A 127.0.0.1
www.naga.org  A 127.0.0.1
www.naga.org  AAAA 2001:db8::2

##########################################
# dual stack enabled hosts does not make life easy
# force them back to single stack 

www.ietf.org   A    127.0.0.1
www.ietf.org   AAAA ::

www.example.org  A    0.0.0.0
www.example.org  AAAA ::1

###############################################
# one day we will have our ettercap.org domain
#

www.ettercap.org           A  127.0.0.1
www.ettercap-project.org   A  127.0.0.1
ettercap.sourceforge.net   A  216.136.171.201
www.ettercap.org           PTR ::1

###############################################
# some MX examples
#

alor.org   MX  127.0.0.1
naga.org   MX  127.0.0.1
example.org MX 127.0.0.2
microsoft.com MX 2001:db8::1ce:c01d:bee3

###############################################
# This messes up NetBIOS clients using DNS
# resolutions. I.e. Windows/Samba file sharing.
#

LAB-PC*  WINS  127.0.0.1

###############################################
# some service discovery examples

xmpp-server._tcp.jabber.org SRV 192.168.1.10:5269     
ldap._udp.mynet.com SRV [2001:db8:c001:beef::1]:389   


# vim:ts=8:noexpandtab

Me han asaltado muchas dudas.A la hora de facilitar la url a clonar seria corrector poner No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Además, en la interfaz de ettercap en unos sitios he leído que la víctima es el target 1 y en otros que en Tarhet 1 vas tu y en Target 2 la víctima. Como es la correspondencia?
He seguido a rajatabla estos vídeos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , No tienes permitido ver los links. Registrarse o Entrar a mi cuenta amen de mas documentación, a ver si podéis echarme una mano que son las 5:30 y llevo toda la noche ofuscado con esto jajajaja

PD: No estoy usando la 2.0 de kali linux, sino la anterior

Un saludo!

rand0m · Septiembre 11, 2015, 07:31:12 AM

Lo que comentas suena muy raro, pero lo primero que comprobaría es que tengas activado ip forwarding.
Comprueba el estado con:

Código: php

cat /proc/sys/net/ipv4/ip_forward

Si está en 0 está desactivado, si está en 1 debería funcionar, el error tendría que estar en otra parte.
Si está a 0 activarlo es tan fácil como teclear:

Código: php

echo "1" >/proc/sys/net/ipv4/ip_forward

Con respecto a tu inquietud:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Además, en la interfaz de ettercap en unos sitios he leído que la víctima es el target 1 y en otros que en Tarhet 1 vas tu y en Target 2 la víctima. Como es la correspondencia?

Si revisamos el manual completo de ettercap (Con el comando man ettercap) nos encontramos con el siguiente párrafo:

CitarTARGET SPECIFICATION
There is no concept of SOURCE nor DEST. The two targets are intended to filter traffic coming from one to the other and vice-versa (since the connection is bidirectional).

TARGET is in the form MAC/IPs/PORTs.
NOTE: If IPv6 is enabled, TARGET is in the form MAC/IPs/IPv6/PORTs.

If you want you can omit any of its parts and this will represent an ANY in that part.
e.g.
"//80" means ANY mac address, ANY ip and ONLY port 80
"/10.0.0.1/" means ANY mac address, ONLY ip 10.0.0.1 and ANY port

MAC must be unique and in the form 00:11:22:33:44:55

IPs is a range of IP in dotted notation. You can specify range with the - (hyphen) and single ip with , (comma). You can also use ; (semicolon) to indicate different ip addresses.
e.g.
"10.0.0.1-5;10.0.1.33" expands into ip 10.0.0.1, 2, 3, 4, 5 and 10.0.1.33

PORTs is a range of PORTS. You can specify range with the - (hyphen) and single port with , (comma).
e.g.
"20-25,80,110" expands into ports 20, 21, 22, 23, 24, 25, 80 and 110

NOTE:
you can reverse the matching of the TARGET by adding the -R option to the command line. So if you want to sniff ALL the traffic BUT the one coming or going to 10.0.0.1 you can specify "./ettercap -R /10.0.0.1/"

NOTE:
TARGETs are also responsible of the initial scan of the lan. You can use them to restrict the scan to only a subset of the hosts in the netmask. The result of the merging between the two targets will be scanned. remember
that not specifying a target means "no target", but specifying "//" means "all the hosts in the subnet".

Como podemos ver a pie del título del tema: There is no concept of SOURCE nor DEST. The two targets are intended to filter traffic coming from one to the other and vice-versa (since the connection is bidirectional). Así que no hay ORIGEN ni DESTINO, por lo que no debes preocuparte por eso.

-- EDIT--
En el archivo etter.dns se ve que intentas redirigir Facebook a una máquina en tu red local.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
facebook.com A 192.168.1.93
*.facebook.com A 192.168.1.93
www.facebook.com 192.168.1.93 # Wildcards in PTR are not allowed

Pero ahora el que tiene una duda soy yo: ¿setoolkit no ponía el servidor a la escucha en un puerto diferente al 80? Tal vez tengas que añadir un trabajo de redirección en la tabla nat de iptables.
No sé si te estoy siendo de ayuda. Cuando algo no me funciona directamente empiezo a toquetearlo TODO hasta que algo pase, por eso intento buscar todas las posibilidades a la vista. Si nos vas comentando quizá lleguemos a buen puerto (Yo también tuve un cara a cara bastante duro con ettercap, es una herramienta "fácil", pero no tanto).

D4RKS0N1K · Septiembre 11, 2015, 09:00:37 AM

Buenas!Lo primero gracias por responder @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pues efectivamente probe con el comando cat /proc/sys/net/ipv4/ip_forward y daba 0.Lo curioso es , que cuando usaba echo "1" >/proc/sys/net/ipv4/ip_forward para cambiar ese valor a 1, iniciaba el ataque en mi red local con ettercap y setoolkit y al volver a comprobar el valor me devolv'ia 0.Y de resto igual, consigo sin hacer que funcione

Un saludo

rand0m · Septiembre 11, 2015, 11:39:51 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pues efectivamente probe con el comando cat /proc/sys/net/ipv4/ip_forward y daba 0.Lo curioso es , que cuando usaba echo "1" >/proc/sys/net/ipv4/ip_forward para cambiar ese valor a 1, iniciaba el ataque en mi red local con ettercap y setoolkit y al volver a comprobar el valor me devolv'ia 0

Que raro. ¿Estás haciendo el echo con permisos de root?

zupa · Septiembre 12, 2015, 12:48:28 AM

Como opcion y para descartar te recomiendo que verifiques la configuracion del set. Tengo entendido que el archivo es conocido como" set_config".

D4RKS0N1K · Septiembre 13, 2015, 02:19:07 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pues efectivamente probe con el comando cat /proc/sys/net/ipv4/ip_forward y daba 0.Lo curioso es , que cuando usaba echo "1" >/proc/sys/net/ipv4/ip_forward para cambiar ese valor a 1, iniciaba el ataque en mi red local con ettercap y setoolkit y al volver a comprobar el valor me devolv'ia 0
Que raro. ¿Estás haciendo el echo con permisos de root?

Buenas
Como me indicaste use el comando whoami y me devuelve como resultado root ademas de salir la almohadilla que me mencionabas
Y lo que dice Zupa, use locate y gedit para abrir el archivo config set y lo primero que pone es que no se edite ese archivo pero me veo opciones como , ETTERCAP_INTERFACE="eth0" donde realmente es wlan0
ETTERCAP=False
WEB_PORT=80
HARVESTER_REDIRECT=False
HARVESTER_URL="http://thisisasite"

debo cambiar esos valores tal vez?

zupa · Septiembre 13, 2015, 11:38:58 PM

Si debes modificarlos, lo mas probable por eso estas teniendo el inconveniente.

"ETTERCAP= ON o True"

rand0m · Septiembre 14, 2015, 11:40:03 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
use locate y gedit para abrir el archivo config set y lo primero que pone es que no se edite ese archivo

Cuando en un archivo de configuración pone eso lo que quiere decir es que guardes una copia de seguridad por si al final rompemos con todo. Pero que ninguna recomendación de un archivo de texto te desanime a tocar todo lo que puedas.
Si rompe, se restaura la configuración original y se vuelve a intentar.

Ettercap me tumba la conexion

D4RKS0N1K

Septiembre 11, 2015, 01:19:25 AM Ultima modificación: Septiembre 13, 2015, 02:31:43 AM por EPSILON

rand0m

Septiembre 11, 2015, 07:31:12 AM #1 Ultima modificación: Septiembre 11, 2015, 07:45:10 AM por rand0m

D4RKS0N1K

Septiembre 11, 2015, 09:00:37 AM #2

rand0m

Septiembre 11, 2015, 11:39:51 AM #3

zupa

Septiembre 12, 2015, 12:48:28 AM #4

D4RKS0N1K

Septiembre 13, 2015, 02:19:07 PM #5

zupa

Septiembre 13, 2015, 11:38:58 PM #6

rand0m

Septiembre 14, 2015, 11:40:03 PM #7