Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 28-10-2010 21:55:14

Syfer
Membre Indispensable
Inscription : 09-06-2010
Messages : 507
Site Web

Ettercap et dns_spoof

Bonjour a tous !

Je fait des test sur ma machine virtuel windows xp sp3 «--(PC Victime) et je suis dans BT4-R1, mon but est de réussir un meterpreter avec une fake page html que la victime a le choix de téléchargé mon exploit, donc je me sert de métasploit3 et ettercap en dns_spoof, sur ettercap j'ai un fichier dans /usr/share/ettercap nommé etter.dns que j'ai ajouté le code suivant.

*.google.fr A 192.168.1.101

Comme vous avez bien vu je veut ciblé un site web en particulier je peut également le faire de cette méthode suivamte.

*.*.* A 192.168.1.101

Mais dans ce cas si ce n'est pas mon but car il va spoofer toutes les adresse ver mon adresse IP.

Mon problème est que, quand je démare ettercap et que je fait un dns_spoof avec le premier example et que je vait a l'adresse de la cible choisi avec le PC Victime il ne voit que le vrai google.fr et non mon fake html, si je tape mon adresse IP dans la barre d'adresse il voit bien mon fake html... comment peut-ton ciblé le html ver une adresse spoofer ?

Cordialement.

Dernière modification par Syfer (28-10-2010 22:24:38)


masignature.gif

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 28-10-2010 22:06:29

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Ettercap et dns_spoof

C'est ta redirection DNS qui foire. Regarde avec Wireshark (en filtrant le trafic "DNS" dans la barre de filtres) pour voir si ton plugin DNS spoof fonctionne bien. Si tu vois que les requêtes DNS de la victime vont vers un serveur extérieur, c'est que ledit plugin ne fout rien...

Il faut que tu vérifies aussi que l'ARP poisoning fonctionne correctement, et avec une machine virtuelle dans les pieds ca risque d'être un peu "tricky" comme on dit de ton côté de l'Atlantique wink Comment est-ce que tu spécifies tes cibles dans Ettercap ? Parce que si la VM a un réseau NATé, il est possible qu'il y ait un "tunnel" direct entre ton interface virtuelle et ton interface physique, ce qui empêche Ettercap de s'intercaler entre les 2 hmm
Tu saurais nous faire un topo sur les IP en présence (celle de machine virtuelle, celle virtuelle de ta machine physique, ton IP réelle, l'IP de ta passerelle/routeur) ainsi que les commandes exactes (ou paramètres exacts) que tu tapes ?

Si je peux me permettre, t'as pas choisi la façon la plus simple de jouer en MITM smile Tu devrais aussi jeter un oeil sur le travail d'Atrax et son tool AtxWPA, il fait +/- la même chose sous forme de RogueAP, mais tu peux reprendre ses idées pour la partie "inciter la cible à télécharger le meterpreter" wink

Hors Ligne

#3 28-10-2010 22:24:16

Syfer
Membre Indispensable
Inscription : 09-06-2010
Messages : 507
Site Web

Re : Ettercap et dns_spoof

Salut, wink

antares145 a écrit :

Comment est-ce que tu spécifies tes cibles dans Ettercap ?

(192.168.1.1 IP routeur) (192.168.1.101 IP local) (192.168.1.103 IP pc victime) Bien je tape ceci sur ettercap --»

En premier je connecte le port 80 ? pour que la victime puisse téléchargé le meterpreter -»

python -m SimpleHTTPServer 80

Après j'active ip_forward

echo 1 > /proc/sys/net/ipv4/ip_forward

Et MITM avec ettercap et dns_spoof --»

ettercap -i eth0 -T -q -P dns_spoof -M ARP /192.168.1.103/ /192.168.1.1/

Je crois que je fais bien les manip jusque la ?

Ah, et la machine virtuel et paramétré en bridged adapteur eth0.

Cordialement

Dernière modification par Syfer (31-10-2010 22:55:59)


masignature.gif

Hors Ligne

#4 28-10-2010 22:32:45

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Ettercap et dns_spoof

Ah, si t'es en ponté (bridged) ca devrait être un peu moins prise de tête smile

Bon, dans l'ensemble ca devrait être bon mais pas sûr... Comme je le disais, il faut d'abord vérifier que l'empoisonnement ARP fonctionne, pour ca il faut (pendant ton attaque) que tu tapes "arp -a" dans une console sur ta machine Win : l'adresse IP du routeur (192.168.1.1) doit correspondre à l'adresse MAC de ta machine attaquante (ça va, tu suis toujours ? big_smile)
Si ce n'est pas le cas, c'est que le MITM foire, et à partir de là rien ne peut marcher... Je connais pas trop le mode bridged donc il est possible que ca continue à coincer de ce côté-là, mais au moins on sera déjà fixés pour la partie "MITM" smile

Hors Ligne

#5 28-10-2010 22:37:31

Syfer
Membre Indispensable
Inscription : 09-06-2010
Messages : 507
Site Web

Re : Ettercap et dns_spoof

Re, et merci smile

Mais comment explique tu que quand je tape mon ip dans le pc victime sa marche ??!!? s'y le MITM foire ?!?

Je comprend pas trop ça....

Ah, et aussi quand je le laisse genre 30 min en MITM sa marche il spoof l'adresse ciblé... c 'est bizarre...

Dernière modification par Syfer (28-10-2010 22:44:28)


masignature.gif

Hors Ligne

#6 28-10-2010 22:48:25

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Ettercap et dns_spoof

Le MITM sert à faire croire à ta victime que le routeur c'est toi. Par contre, il ne change rien sur le fait que toi, tu restes toi (ton IP reste associée à ton adresse MAC). En jeu de rôle ça donne ca :

Victime > Hey, Syfer ? Tu as un site web pour moi ?
Syfer > Oui, on m'appelle ? Bien sûr, le voilà, tiens !
------
Victime > Hey, routeur, tu peux m'amener sur le site de Google ?
Syfer, avec une voix vicieuse > Mais oui mon petit, c'est moi le routeur, passe par ici... Tu veux un bonbon ?

Le MITM sert à ce que l'attaquant réponde à la place du routeur (plus exactement, à ce que les requêtes à destination du routeur passent par chez toi avant). Mais si la victime veut parler directement à l'attaquant (via son IP) y a rien qui l'en empêche, et surtout il n'y a pas besoin de MITM pour ca : on appelle l'attaquant, l'attaquant répond smile

J'espère que je suis à peu près clair...

[EDIT] Quand tu parles de l'adresse, c'est l'IP ou directement *.google.fr qu'il spoofe ? Dans un cas c'est (peut-être) un problème de cache ARP, dans le second c'est (certainement) un problème de cache DNS.
Si tu as été sur *.google.fr récemment, le système ne refait pas une requête DNS, il utilise la précédente. Mais une fois de temps en temps, il en fait une quand même, des fois que ca aurait changé smile Idéalement, quand tu joues en spoof DNS, tu dois commencer par vider ton cache avant, comme ca il fait des requêtes pour tous les sites. Sous windows : [c]ipconfig /flushdns[/c]

[EDIT]² : Sujet déplacé dans la section "Outils de pentest, the real hacking toolkit"

Hors Ligne

#7 28-10-2010 23:05:37

Syfer
Membre Indispensable
Inscription : 09-06-2010
Messages : 507
Site Web

Re : Ettercap et dns_spoof

Ok oui !

Je crois aussi que c'est un problème de cache quand j'ai fait mes premiers test sa marchait du premier coup et merci de ton aide je vais essayer la commande ipconfig /flushdns sous windows et voir si sa marche mieux, et pour le cache ARP comment tu fait pour le vider  c'est sous windows aussi ?

antares145 a écrit :

Quand tu parles de l'adresse, c'est l'IP ou directement *.google.fr qu'il spoofe ?

Oui c'est *.google.fr.

Cordialememnt

Dernière modification par Syfer (28-10-2010 23:12:40)


masignature.gif

Hors Ligne

#8 29-10-2010 01:29:39

Syfer
Membre Indispensable
Inscription : 09-06-2010
Messages : 507
Site Web

Re : Ettercap et dns_spoof

Merci antares, sa marche bien maintenant c'est bien au fait de vider le cache je peut pas te dire lequel j'ai fait les deux ^^ voici les code sous windows --»

Pour vider le cache DNS --»

ipconfig /flushdns

Pour vider le cache ARP --»

arp -d *

Il as falut que je redémare le PC victime aussi pour que sa marche bien.

@+

Cordialement


masignature.gif

Hors Ligne

#9 29-10-2010 11:02:17

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Ettercap et dns_spoof

Je pense que c'était le cache DNS, vu la façon dont tu décris le problème. Pour vérifier, il suffit (suffisait...) de mettre wireshark en écoute et de voir s'il y avait du trafic DNS vers l'extérieur ou pas smile

- pour vider le cache ARP, je préfère la commande [c]netsh interface ip delete arpcache[/c] (mais la tienne semble fonctionner aussi
- le reboot de la victime n'était sans doute pas nécessaire, je pense que déconnecter/reconnecter aurait suffi (puisque Win vide ses caches à la reconnexion) smile

Mais bon, tant que ça marche... tongue

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
20 241 10-11-2016 12:54:26 par koala
2 533 27-10-2015 00:21:23 par zoz25
1 911 15-03-2014 08:57:27 par Furyo
MITM Ettercap HTTPS ? par Endless-Hacking
2 1201 12-08-2013 13:24:07 par Volkow
8 1300 30-07-2013 21:25:24 par Speedfan

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.075 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]