ETTERCAP -1- sniff username and password on LAN

ettercap.png

Ciao a tutti,

Grazie alle notizie prese da un thrade sul forum di remote exploit oggi descriveremo come poter fare sniffing di username e password all’interno di una rete LAN , anche se su protocollo HTTPS.

Lo strumento che useremo per fare quest’operazione di sniffing è l’ Ettercap

Per fare in modo di permettere allo sniffer Ettercap di lavorare anche su login protetti da cifratura SSL andiamo in Konsole ed apriamo il file di configurazione etter.conf con il comando:

nano /usr/local/etc/etter.conf

all’interno del file , nella sezione *****Linux***** andremo a “scommentare” , (come funziona anche per le altre distro GNU/Linux , per togliere un commento , si cancella il simbolo “#” che antecede la riga , questo simbolo se presente fà in modo che il sistema legga la riga come appunto , un commento) , le seguenti righe:

___________________________________________

# if you use iptables:
#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"


#redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

___________________________________________


in modo che diventi:

___________________________________________

# if you use iptables:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"


redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

___________________________________________

(attenzione alla formattazione del blog , le righe sono unite , quindi selezionatele ricorsivamente)

Una volta tolti i simboli “#” dalle due righe facciamo un Overwrite , e cioé sovrascriviamo il file con i nostri cambiamenti , con la combinazione di tasti “Ctrl + O , subito dopo , quando il sistema ci chiederà di sovrascrivere il file noi risponderemo premendo Invio , e quindi accettando le modifiche al file.

Fatto questo non ci resta che avviare Ettercap , quindi:

—> MenùStart di KDE -> Privilege Escalation -> Sniffer -> Ettercap

Alla comparsa dell’interfaccia grafica , sul menù della finestra di Ettercap andiamo su Sniff –> Unified Sniffing –> eth0 (nel mio caso ho inserito eth0 , per indicare la mia ethernet , ma se siamo all’interno di una LAN basta selezionare il device che si trova sempre nella scelta dal menù Unified Sniffing).

Sullo spazio di dialogo tra l’utente e l’ Ettercap , se tutto è ok , vedremo comparire una scritta tipo questa:

___________________________________________

<code>Privileges dropped to UID 65534 GID 65534…

28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
</code>

___________________________________________

Questo testa che Ettercap ha letto tutte le informazioni riguardanti il nostro host , e che quindi Ettercap è pronto , per farlo partire con lo scanning dell’ host basta premere la combinazione Ctrl + S.

Una volta partito lo scan , amdiamo subito sulla seziona Mitm del menu principale di Ettercap e selezioniamo Arp Poisoning e quando ci comparirà la finestra di dialogo per la scelta dei parametri opzionali noi , (essendo all’interno di una LAN) , sceglieremo una connessione remota e quindi dovremo mettere la spunta di selezione su Sniff Remote Connection.

Fatto questo non ci resta che partire con lo sniffing dandogli lo andando sullo Start del menù principale e selezionando Start Sniffing.

Se tutto è OK nella finestra di dialogo di Ettercap si avranno informazioni di questo genere:

___________________________________________

GROUP 1 : ANY (all the hosts in the list)

GROUP 2 : ANY (all the hosts in the list)
Unified sniffing already started…
Unified sniffing already started…
Unified sniffing was stopped.
Starting Unified sniffing…

___________________________________________
Significa che Ettercap sta lavorando…

A questo punto , tutte le persone che sono nella nostra LAN , sono delle potenziali vittime , perché quando andranno ad accedere ad esempio sul loro account mail , e Ettercap esegue lo sniffing anche su account cifrati con SSL come Hotmail e Gmail , si vedranno comparire davanti una finestra di dialogo che gli chiederà di esaminare il certificato dell’account , (come se ne vedono tanti) , e al momento del loro consenso voi avrete con Ettercap tutti i dati del loro account mail.

Questo vale per tutti i login effettuati dalle potenziali vittime all’interno di una rete LAN , come può essere ad esempio una rete aziendale , e che sono sotto l’interfaccia di rete riconosciuta da Ettercap.

Alla prossima.

41 commenti

  1. Ciao,
    ho voluto provare ettercap….funziona ottimamente per sniffare account di libero (http) ma non c’è verso di farlo funzionare con ssl ( gmail o hotmail).
    Io ho decommentato le iptables, seleziono remote connections ma niente….
    qualcuna ha qualche idea?
    Ciao a tutti..
    P.s. uso ubuntu

  2. mmm, non capisco perchè mi dice tt le volte che l’interfaccia non è valida…
    per vedere se sbagliato, da terminale ho dato:

    iwconfig:

    e vedo che quella associata(sono collegato via wireless e funzia tt bene) è wlan0, quindi ho inserito quella quindi…non capisco mi da “invalid interface”….AIUTOOOOOOOO^^

  3. ciao Cirio,

    e scusa il ritardo….

    è strano , se viaggi in wlan0 l’ interfaccia è quella…

    se mi spieghi il passaggio può darsi che capisca qualcosa in più… …altrimenti entra in chan e vediamo cosa si può fare.

    ciao.

  4. ciao…qual’è il canale sul quale dovrei entrare?protoccolo irc?
    non so xkè, si vede propio che è una live, a vollte impazzisce, in tt i casi ora funziona la storia la selezione dell’interfaccia, mi è sorto un’altro problema:

    1) seleziono l’interfaccia –>ok
    2) mitm,arp poisoning, sniff remote connection,—> messaggio d’errore “ARP POISONING NEEDS A NON EMPTY HOST LIST”

    Da quanto ho capito la lista degli host è vuota..per cui..

    1) Host–> scan for host–> nella tabellina infondo mi da “3host added to the host list”, anche se di fatto nella lista non vedo un bel piffero di niente ^^

    2)mitm,arp poisoning, sniff remote connection–> inizia con questa dicitura e non va avanti..almeno penso..ho aspettato 10minuti ed è restato così:

    GROUP 1 : ANY (all the hosts in the list)

    GROUP 2 : ANY (all the hosts in the list)

    grazie in anticipo;)

  5. hai aspettato 10 minuti , ok , ma per vedere se “sniffa” eseguendo quindi l’ attacco Man In The Middle , tu ti connetti a qualche parte della tua LAN oppure aspetti solo?
    so che non è così ma devi dirmelo altrimenti io non posso saperlo ok?

    detto questo , se hai eseguito la procedura devi settare i target , o da interfaccia grafica , oppure ancora meglio creati un file di nome “Hosts.txt” e mettilo nella tua “/root” apponendo tutti gli indirizzi IP uno sotto l’ altro come in una wordlist.

    ciao

    per il canale irc:

    https://carlitobrigante.wordpress.com/2008/01/04/la-chat-di-backtrackblog/

  6. Una cosa…

    …ti prego di non inserire messaggi con scritto aiutoooo eccetera , non serve , se ho tempo ti rispondo , altrimenti no.
    😉

    ciao.

  7. si..scusami davvero, non è da me mettere quei mess di aiuto cm i newbie appena arrivati..scusami ancora..
    per il resto, non ho capito bene che intendi con “tu ti connetti a qualche parte della tua LAN oppure aspetti solo?”

    nel senso, io sono connesso via wireless al router …e sono uno dei 2pc connessi..e funzia, xkè riesco ad andare in internet, condividere file ecc ecc..
    stassera appena torno provo la cosa della wordlist mettendo gli ip (tt quelli in lan intendi?192.168.0.x …) in /root..

  8. allora…

    in una lan , su 2 pc , per effetture uno sniffing , tu devi mettere l’ host da monitorare , e sull’ host da monitorare appunto per fare in modo che ettercap sniffi il traffico , dovrai effettiuare dei login , altrimenti ettercap cosa sniffa???

    io sto facendo delle prove per un fakelogin , ma lo faccio con ettercap perché induco ad effettuare il login all’ eventuale vittima su di una connessione controllata da me capisci?

    se sei su uno dei due pc , lancia da quello l’ ethernet , dopodiché con l’ altro vai ad effetuare i login che ettercap andrà a sniffare con attacco mitm.

    ciao.

    • Ciao, sto provando ad usare Ettercap ma accadono un paio di cose strane.

      1) Se non disattivo il firewall di Windows il plugin “Check poison…” non va a buon fine

      2) Disattivato il firewall provo a sniffare il traffico dalla macchina vittima verso un sito ( vittima il pc-Target il router ) ma non rilevo nulla.

      Detto questo l’unica cosa che visualizzo è lo stesso macaddress fra la macchina Hacker e il router.

      Grazie
      Giuseppe

  9. ehh..good^^ mi sn appena auto_fregato…la pass di myhack.it, ora.. proverò con diversi portali mail, e poi ti saprò dire, grazie dell’aiuto.

    p.sO_o è strabiliante..ettercap te la riporta propio chiara e tonda li a video!!

  10. bene. 😉

  11. Possiamo rivolgere l’attacco con ettercap solamente a un solo IP ?
    Se ho capito bene importando a mano la lista degli host forse ?
    Grazie anticipatamente per l’informazione.

  12. Ciao Mauro,

    esattamente , tramite GUI oppure tramite un file chiamato “hosts.txt” si possono selezionare anche 4/5 hosts.

    ciao.

  13. scusate l’ignoranza…….ma ettercap sniffa anche utenti connessi in wifi????????

  14. ma posso sniffare anche persone connesse in wireles essendo io stesso conesso in wireles???

  15. Salve, io vorrei sapere perchè quando gli host accedono alla posta elettronica di libero.it, tramite web, non riesco a visualizzare nomeutente e password? grazie

  16. Ciao a tutti, io eseguendo questo tutorial riesco a captare le password e gli username, ma gli utenti della lan sono impossibilitati a connettersi a msn (ovviamente tramite live mesenger) mentre se usano altri client va tutto ok.
    Usando risoluzione dei problemi di live messenger rileva che il getaway è sbagliato.

    Qualcun’altro ha riscontrato questo genere di problemi?

  17. @mrux e daniele:
    le password in Wireless sono criptate diversamente , bisognerebbe agire su un filtro , oppure crearne uno.

    @Alessando:

    è cambiato il protocollo da MSN a MSN-LIVE , di conseguenza ci sono stati anche altri cambiamenti , tipo l’ errore che riporti , prima si vedeva un’accettazione di certificato ma si poteva andare avanti , ora evidentemente non più… …detto questo una volta catturate le credenziali si dovrebbe uscire , nel senso che il successo dello sniffing è stato accertato , lasciando libero il client.

    Se si vuole una cattura continua , ovvero un’ intera conversazione e non solo credenziali , bisognerebbe pensare ad un altro tool come ad esempio Wireshark.

    ciao.

    per le domande e le curiosità andate in chan non scrivete sul blog che non vi risponde nessuno.

    😉

  18. Provando a connettermi con Pidgin, le credenziali riesco ad ottenerle. Quindi per ottenere le credenziali da Live Messenger non esiste ancora un metodo che funzioni?

  19. ciao a tutti io sono nuovo. cmq sono un appassionato del mondo del’informatica.. ho scaricat backtrack 3 final e lo volevo installare al posto del mio vista , siccome mi interessa sapere come funziona quessto programma. leggendo dalle vostre notizie ho capito che ha molte funzioni di attacco ed ero interessato a testare il mio sistema volevo sapere se pote darmi delle delucidazioni su questo campo. asp vostre risp

  20. Ciao,
    Ho provato a seguire passo passo la guida e funziona alla perfezione: con un altro computer nella mia LAN mi sono collegato al mio account Gmail e poi all’account di Tim e in entrambi i casi ettercap ha visualizzato il login e la password.
    Grazie

  21. Freeman….

    …grazie a te , visto che qualcuno metteva ancora in dubbio la riuscita di Ettercap su gmail.

    ciao.

  22. Ciao, se posso dire la mia modestissima opinione riguardo gmail. Il fatto che dalle impostazioni di gmail si può decidere o meno se utilizzare il protocollo https, quindi se lo si lascia http immancabilmente ettercap intercetta il login, se come me si usa https ettercap intercetterà soltanto una sfilza di caratteri incomprensibili (com’è giusto che sia)

  23. ragazzi ma possibile che ancora ci sono dubbi ???

    Ettercap sniffa traffico in http e https , senza alcun problema.

    il fatto è che molta gente non capisce che il collegamento WiFi è del tutto diverso da uno cablato , quindi se ci si colega a Gmail in Wireless lo sniffing con ettercap deve essere fatto attuando dei filtri diversi , oppure ancora usare direttamente Wireshark… …detto questo , Ettercap sniffa su HTTP e su HTTPS.

    ciao e buon 2009 a tutti…

  24. Non metto in dubbio che ettercap intercetti anche il traffico https. Questo è chiaro e l’ho confermato anche io. DIco solo che “intercettare” è diverso che “decifrare”.
    Se una comunicazione è cifrata e io la intercetto, dovrò poi decifrarla per capire cosa c’èra dentro. No?
    Correggimi se sbaglio, perchè sono molto curioso a riguardo.

    Grazie in anticipo.

  25. guarda che tanti giri di parole non fanno altro che aumentare la confusione su un tool che invece non lascia alcun dubbio.

    ma poi io dico , se non ci credi , perché non lo provi?

    in rete ce ne sono un infinità di dimostrazioni.

  26. ciao a tutti!vorrei dire la mia su questa discussione,da un po’ di tempo uso questo programma ed ho fatto le mie esperienze(sbagliate o giuste che siano)benissimo lo sniffing delle conversazioni di msn,in quanto alle password email mi da quella di jumpy,quelle delle altre casella di posta (libero,virgilio,tiscali,msn,face book,ecc.)niente,questo se il browser e fire fox,mentre se il browser e internet explorer non aggiornato,per intenderci quello che sta su xp,bene allora le password saltano fuori tutte,ora vorrei sapere se sbaglio qualcosa,oppure se fire fox in qualche modo impedisce di decifrare le password,scusate gli errori e se sono stato poco chiaro,ma il succo del discorso e, che mentre con internet explorer ettercap mi intercetta tutte le password,con fire fox no.ciao e grazie

    • Ci mancherebbe , è un piacere ascoltare opinioni , ma stai sicuro che l’ unica differenza che può esserci è nella configurazione dei filtri e nella configurazione di IE e Firefox.

      Ettercap sniffa sia su HTTP che HTTPS , l’ unica cosa che può cambiare è che si visualizza un avviso che avverte della possibile lettura delle informazioni da parte di terzi.

      Quello che non và dimenticato è che stiamo leggendo/scrivendo sotto un tutorial datato ormai , ma se si sà giocare bene con i filtri di Ettercap non c’é scampo nelle reti switchate.

      ciao.

  27. grazie per essere stato cosi veloce nella risposta!bee se mi dici chome si deve giocare con i filtri ti sarei veramente grato!e non credo sarei l’unico

    • ci vuole esperienza e studio , provare già a darci un occhiata può aiutare ma senza sapere lo scripting bash o altri linguaggi di programmazione non si va comunque da nessuna parte.

      ciao.

  28. salve a tutti, ho provato ettercap in due diverse reti lan (wifi), nella prima: una dsl normale tutto ok, http e https in chiaro alla grande,poi ho ripetuto il test in un’altra rete questa volta una fastweb (sempre seguendo la guida di cui sopra) non ho avuto le stesse prestazioni,anzi non sono riuscito a visualizzare nulla e poi ci sono diverse cose che mi fanno pensare che forse ci vuole qualche altra impostazione.In ogni modo mi affiddo a voi e vi ringrazio anticipatamente.
    ps vorrei aggiungere una richiesta fuori tema, brigante non mene voglia, sto avendo diversi problemi (bt3 final) con il wireless assistant che si pianta e non c’è verso di farlo ripartire, per favore mi consigliate qualcosa anche per questo enorme problema che mi fa migrare spesso ad ubuntu, mio malgrado, grazie ancora.k

  29. ciao ho letto tutto il mio problema è che quando cerco gli hosts mi dice:
    0 hosts added to the hosts list…
    sono collegato in wireless e ho selezionato la scheda di rete giusta infatti quando parte mi dice:

    \Device\NPF_{“id corretto”} -> 00:XX:XX:XX:XX:XX 192.168.1.XXX 255.255.255.0

    però non trova nessun host….uff…ho provato anche a creare il file Hosts.txt mettendo l’ip ma nulla….attendo risposte! Grazie

  30. Salve a tutti, io ho lo stesso problema di Goffy, quando provo a cercare gli host mi dice la stessa cosa:

    0 hosts added to the hosts list

    Dove sbaglio?

    Uso Etercap in WinXp

    Grazie

  31. Grazie, sei un grande.

  32. A me Ettercap sotto BT3usbLive ogni tanto si chiude in automatico.
    Mi riesce bene a sniffare le mie password da Yahoo, Hotmail, ma non da Libero, sarà forse perchè dopo la scelta della scheda di rete invece che mostrarmi:

    Privileges dropped to UID 65534 GID 65534
    28 plugins
    39 protocol dissectors…..

    mi mostra

    Privileges dropped to UID 0 GID 0
    28 plugins
    39 protocol dissectors…..

    come posso risolvere?
    Grazie

  33. Nessuno che mi sappia dire perchè Ettercap mi da

    Privileges dropped to UID 0 GID 0

    invece che

    Privileges dropped to UID 65534 GID 65534

    c’è da settare qualcosa?
    Grazie

    • Mi rendo conto di aver scritto delle boiate a proposito di UID e GID, ma non ero abbastanza informato….
      Però le password di Libero non riesco a rilevarle lo stesso…😦
      C’è un modo per farglielo fare?
      Oppure un modo alternativo con qualche programma simile?
      Grazie

  34. OFFRO RICOMPENSA per trovare una semplice password hotmail.
    Rispondeteeeee a :

  35. Ciao,

    ho provato la versione windows di ettercap, funziona alla grande, ma non ho ancora avuto modo di provare con i login protetti da cifratura ssl. Visto che non c’è una sezione “windows” per quanto riguarda le righe da scommentare, mi chidevo se la versione windows non avesse bisogno di ulteriori modifiche per sniffare login ssl.

    grazie in anticipo

  36. Ciao, sono da poco entrato nel mondo Linux dopo averlo guardato per anni “dalla finestra” e mi sto appassionando molto. Dopo un po’ di apprendistato ho scaricato Backtrack 4 con la quale ho iniziato a giocare un po’. Fra le altre cose ho provato a rilevare le password di tutti i miei account (http, pop e https) con ettercap. Tutto ok per quelle POP e HTTP, ma non per HTTPS. Seguendo l’ottima guida di KEV ho capito che c’è tanto da imparare sui filtri e sono riuscito a rilevare una mia password di yahoo mail (esattamente il suo esempio) e sto provando a fare altrettanto con quella di libero (e altre sempre https), ma… nisba. Avete qualche documentazione da suggerirmi o consiglio da darmi? Ho già “googolato” con “ettercap filters webmail”, ecc., ma ho ancora tanto da imparare. C’è qualcuno disposto a darmi una mano?

    P.S. Preciso che lavoro DA SOLO e nel mio studio ho il notebook aziendale (Windows XP), un altro personale (Windows XP / Bactrack 4 Live CD) ed un desktop personale (Ubuntu 9.10) connessi tramite un router Speedtouch Thomson. Tutte le prove sono fatte all’interno di questa mini rete giocando fra i tre PC e non mi interessa fare danni a nessuno (ho famiglia e ci tengo a non vederla da dietro le sbarre :-)).

    Saluti a tutti e grazie in anticipo


Comments RSS TrackBack Identifier URI

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...