綜合使用Ettercap+Namp+Wireshark進行Arp欺騙和會話劫持
作業系統為MAC OS
一、安裝
1.安裝wireshark
https://www.wireshark.org/#download
2.安裝nmap
brew install nmap
3.下載gunzip
如果出現了壓縮包,需要使用gunzip以解壓wireshark抓包內容的gzip部分
https://github.com/kizzx2/wireshark-http-gunzip
4.安裝Ettercap
1.安裝homebrew
ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
以前安裝過的輸入:
sudo brew update/brew update
2.安裝Xcode
3.安裝libtiff
第一種方法:brew install libtiff,我這邊已經安裝過,所以是更新
第二種方法
tar xvzf tiff-4.0.6.tar.gz
cd tiff-4.0.6
./configure --prefix=/usr/local
make
make clean
4.安裝gtk+3以開啟ettercap的圖形介面
brew install gtk+3
中間可能會斷掉,重新執行指令就好,因為會下好多包,重新執行指令會下載未下的部分。
5.安裝ettercap
二、綜合使用工具進行arp欺騙
1.使用nmap尋找統一區域網環境下的裝置IP和名稱
nmap -sP 10.162.118.0/24
10.162.118是主機所在網段
2.使用Ettercap進行arp欺騙與會話劫持
sudo ettercap -G
選擇嗅探模式:Unified sniffing,設定好要嗅探的網絡卡(一般都是eth0),點選確定,開始嗅探。
接著Hosts裡面,scan for hosts,列出除本機外的所有區域網內所有客戶端的ip地址。
列出區域網內的所有存活主機,依次點選Hosts---Hosts list。
找好目標裝置和xxx.xxx.xxx.1路由器裝置,將目標裝置設為Target1,路由器裝置設為Target2.
選擇Mitm->ARP poisoning
此時,被侵入的目標裝置會認為我們是閘道器,而閘道器(路由器)會認為我們是被侵入的目標裝置,我們扮演了一箇中間人的角色。而Ettercap會自動將包轉發給正確的目標,在目標看來我們彷彿並不存在。因為ARP的原理,欺騙的有效性並不能保證100%,大家可以多試幾次。使用WireShark可以抓到包,即代表成功。
3.使用WireShark進行抓包
開啟混雜模式
開始抓包
輸入ip.src==10.162.118.34 過濾目標裝置ip地址
追蹤TCP流
檢視TCP流中的內容,被gzip壓縮過,所以需要進行解壓縮處理。
4.使用gunzip解壓wireshark資料包的gzip內容
選擇原始資料將TCP抓包內容儲存為本地檔案test.zip
定位到http-gunzip.rb ruby檔案所在目錄,輸入ruby http-gunzip.rb < dump 檢視gzip壓縮內容。
這樣下來,可以說已經成功完成任務了。
下次,我會去圖書館、教學樓再弄一下。