Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing. Más Info.

Instalación:1) En primer lugar, instalamos todo los paquetes y librerías necesarias para el correcto funcionamiento de Ettercap:

PAQUETES sudo apt-get install build-essential  sudo apt-get install linux-headers-`uname -r` LIBRERIAS sudo apt-get install bison sudo apt-get install flex sudo apt-get install cmake sudo apt-get install libpcre3-dev  sudo apt-get install libpcap0.8-dev  sudo apt-get install libnet1-dev  sudo apt-get install openssl sudo apt-get install libssl-dev  sudo apt-get install ncurses-bin  sudo apt-get install libncurses5-dev  sudo apt-get install libnet6-1.3-dev  sudo apt-get install libpthread-stubs0-dev  sudo apt-get install zlib1g-dev  sudo apt-get install libltdl-dev  sudo apt-get install pango-graphite sudo apt-get install pkg-config  sudo apt-get install libpango1.0-dev  sudo apt-get install libatk1.0-dev  sudo apt-get install libgtk2.0-dev  sudo apt-get install autoconf sudo apt-get install byacc

Nota: Copien y van pegando en el Terminal.

Nota: Existen 2 librerías que también son necesarias para el funcionamiento de Ettercap (Curl y Libnet), de las cuales se requiere una versión más actualizada. Para ello, necesitamos hacer una instalación más manual y un poco complicada.Curl:

# wget http://curl.haxx.se/download/curl-7.30.0.tar.gz # tar xvfz curl-7.30.0.tar.gz # cd curl-7.30.0 # ./configure # make # make install

Libnet:

Descargamos el paquete de Libet de http://sourceforge.net/projects/libnet-dev/files/libnet-1.2-rc2.tar.gz/download y hacemos lo siguiente:

# tar xvfz libnet-1.2-rc2.tar.gz # cd libnet-1.2-rc2 # ./configure # make # make install # ldconfig

2) Descargamos Ettercap de su Web Oficial (Última versión 0.7.6).

3) Descomprimimos el fichero en el directorio que deseemos:

# tar xvfz ettercap-0.7.6.tar.gz

4) Accedemos al directorio que hemos descomprimido en el paso anterior (# cd ettercap-0.7.6 ) y realizamos las siguientes acciones:

# mkdir build (Creamos el directorio "build") # cd build (Accedemos al directorio "build") # cmake .. (Compila) # make install (Instalamos ettercap)

5) Acabada la instalación de Ettercap...solo queda iniciarlo....

# ettercap -G

Jchierro

Esnifando la red (Pruebas de seguridad): Ettercap y Wireshark (Man in the middle)2013/07/16 by Alejandro Alcalde, 6 Comentarios, en aplicaciones, internet, seguridad

Recientemente he leido los problemas de seguridad que tiene WhatsApp, con lo que me entró curiosidad por hacer algunas pruebas yo mismo y esnifar el tráfico de red de mi móvil, pero en este caso para la aplicación que estoy desarrollando, WifiBar. Antes de nada voy a explicar las técnicas y programas que he usado.

Bien, vamos con los programas, he usado ettercap y wireshark. Estos programitas se usan para lo siguiente, Ettercap principalmente lo he usado para el envenenamiento ARP de la máquina objetivo (en este caso el móvil), para realizar la técnica de Man on the Middle, que consiste en establecer la puerta de enlace predeterminada del equipo objetivo a la dirección ip del equipo atacante. De esta manera nuestro equipo atacante estará situado entre el router y el objetivo, logrando así escuchar todo el tráfico de red que genera el objetivo. (Más adelante explicaré como hacer esto).

Wireshark finalmente lo uso para “Ver” el tráfico que genera el objetivo.

Podemos instalar estos dos programas mediante la consola:

hkr@hkr-pc:~$ sudo aptitude install ettercap wireshark

Una vez instalado, abrimos ettercap:

hkr@hkr-pc:~$ sudo ettercap -C

Y nos abrirá una pantalla como esta:

Una vez abierta, le damos a Sniff -> Unified sniffing, y tendremos que introducir la interfaz que queramos esnifar, en mi caso wlan0 (Ya que el móvil se conecta por wifi).

El siguente paso es escanear la red en busca de host, Hosts -> Scan for hosts. Al pulsar comenzará a escanear y en el recuadro de abajo nos aparecerá cuantos host encontró, en mi caso:

Para ver las ips de los hosts encontrados vamos a Hosts -> hosts list, nos quedamos con la ip de nuestro objetivo y pasamos al siguiente paso, Targets -> Select TARGET(s), aquí debemos poner como target1 nuestra puerta de enlace predeterminada, y como target 2 el objetivo:

Ahora hacemos Start -> Start sniffing, y despues, procedemos al envenenamiento ARP. Mitm -> Arp poisoning. lo que nos pedirá unos parámetros, yo he puesto oneway, que fuerza a envenenar solo desde Target1 a Target2, útil para envenenar solo el objetivo y no el router:

Si ejecutamos antes de realizar todo esto arp -a en el equipo objetivo, vemos que la puerta de enlace tiene una MAC asociada, despues de hacer en envenenamiento, esta MAC es la del equipo atacante.

Ahora llega el turno de wireshark,

hkr@hkr-pc:~$ sudo wireshark

Vamos a Capture -> Options, aquí seleccionaremos la interfaz a esniffar, que debe ser la misma que usamos en ettercap, dejamos marcada la casilla Capture packets in promiscuous mode y clicamos en start:

Todo esto me sirvió para descubrir que mi aplicación manda cierta información en Texto plano, como usuario y contraseña de la Base de datos y consultas SQL, de modo que tendré que encriptarlo:

Atención: Una vez terminemos de esnifar, no se nos puede olvidar quitar el envenenamiento ARP Mitm -> Stop mitm attack(s), ya que si no, al apagar el equipo atacante el objetivo se queda sin conexión, al hacer el atacante de puerta de enlace. Por último, Start -> Stop sniffing.

Lo proximo que quiero intentar es conseguir sacar el Id y contraseña del chat de tuenti (Red social española), para conectarme a dicho chat sin necesidad de entrar en la web, usando emphaty por ejemplo, hay gente que ya lo ha conseguido ojeando las cookies, pero voy a hacerlo de esta forma, ya que ojeando con wireshark conseguí sacar el ID y demás, pronto escribiré una entrada si lo consigo.