"TROLLEANDO MEDIANTE LOS FILTROS DE ETTERCAP"
Un dia mi aracnido sentido me decia que aquella vieja herramienta para hacer un MITM automatico podria dar mas de si misma, entonces me dispuse y me sente tranquilamente a tomar un poco de cafe frape e investigar lo que se podia realizar sobre dicha herramienta, ettercap dispone de filtros con los que se puede modificar y jugar y jugar con el trafico del de la victima y el objetivo principal.
ademas ettercap tiene la opcion de configurar muchos plugins, plugins con funcionalidades diferentes que como pentesters tambien podemos meter mano y desarollar nuestros propios plugins para satisfacer nuestras necesidades en determinadas situaciones de auditorias de cyberseguridad.
e incluso he observado por la red que es posible con un poco de trabajo de pentesting "extra" evadir trafico cifrado SSL para que la victima viaje por HTTP y en texto plano, obteniendo asi en el proceso muchas contraseñas mediante analizadores de protocolos como wireshark u otros.
ahora vamos a lo que nos concierne vamos a experimentar como podemos agregar nuestros propios filtros para que haga lo que se nos antoje a la herramienta por ejemplo podriamos crear un filtro para que la herramienta detecte cuando alguna estacion inalambrica o alambrica esta emitiendo cierto tipo de trafico o detectar si en la red se encuentran honeypots queriendonos capturar como atacantes y entre otras cosillas interesantes.
veamos un ejemplo dentro de la documentacion en github dentro el repositorio correspondiente.
if (eth.proto == IP && ip.proto == TCP && tcp.dst == 80 || tcp.src == 80) {
'vas a hacer esto' }
Lo que analizamos anteriormente es que le decimos al filtro que escoga nuestra interfaz como un objeto y proto como un metodo le decimos que cuando el protocolo sea igual a IP y el protocolo sea igual a TCP y cuando el destino del puerto sea 80 o el origen sea 80 vas a hacer esto .
ahora crearemos un ejemplo un tanto interesante, como mandar muchos alerts en forma de bucle infinito para consumir todos los recursos del navegador
if (ip.proto == TCP && tcp.dst == 80) { if (search(DATA.data, "Accept-Encoding")) { replace("Accept-Encoding", "Has sido hackeado por The Pentester !"); # note: replacement string is same length as original string msg("zapped Accept-Encoding!\n"); } if (ip.proto == TCP && tcp.src == 80) { var = 1; if(var == 1) { msg(alert("acabare tus recursos")); } //la variable var siempre va a existir y sera 1 nunca cambiara por lo que siempre se ejecutara al infinito msg("Corriendo el filtro y ejecutando este mensaje .\n"); }.
Si creiste que esto era todo para trollear peues no, temo decirte que una vez hecho y realizado el filtro personalizado que habiamos programado entonces deberemos compilarlo con una herramienta que para nuestra suerte si estamos en linux que es el sistema operativo que deberiamos trabajar siempre en seguridad informatica es la siguiente utilidad :
podriamos por ejemplo poner el siguiente comando para compilar nuestro filtro personalizado :
etterfilter filtro.ef -o /usr/share/filtro.ef
con lo anterior se tardaria en un proceso de compilacion de unos 5 10 segundos por lo que para ese tiempo nuestro filtro deberia estar listo aproximadamente.
como podemos ver es super sencillo crear nuestros propios filtros para nuestras disintas explotaciones y entornos de labortatorio o investigacion en seguridad cibernetica.
aqui les dejo algunos otros eemplos para que pongan a trabajar ese hamster y empiecen a jugar con filtros para sus diversas situaciones.
#CAPTURAR TODO EL TRAFICO EXCEPTO EL HTTP
if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) { log(DATA.data, "./logfile.log"); }CAPTURAR PAQUETES SSH QUE COINCIDAN CON UNA EXPRESION REGULAR ABSOLUTA
if (ip.proto == TCP) { if (tcp.src == 22 || tcp.dst == 22) { if (regex(DECODED.data, ".*login.*")) { log(DECODED.data, "./decrypted_log"); } } }FILTRAR TRAFICO POR UNA SOLA DIRECCION IPV4
if (ip.src == '192.168.0.2') { drop(); }LO ANTERIOR PERO CON DIRECCIONES IPV6
if (ipv6.src == '2001:db8::1') { drop(); }
saludos y happy hacking
stuxnet.
REFERENCIAS Y ENLACES TECNICOS:
acceso no autorizado
cache arp
configuraciones.
ettercap
investigacion
kali linux
MITM
redes inalambricas inseguras
secuestro de conexionnes tcp
0 comments:
Publicar un comentario