Come eseguire un attacco man-in-the-middle usando Ettercap in Kali Linux

Condividi questo articolo:


I tester di penetrazione professionali implementano vari strumenti durante i loro test di penetrazione.

Quando un professionista della sicurezza IT ha eseguito con successo un attacco MITM su una rete locale, sarà in grado di eseguire numerosi altri attacchi alla rete.

Tali attacchi di rete comprendono l’intercettazione di credenziali di accesso, conversazioni, e-mail e altre informazioni sensibili.

In questo tutorial, ti mostreremo come eseguire con successo un attacco Man-in-the-middle (MITM) con Kali Linux ed Ettercap.

Che cos’è un attacco MITM?


Un attacco Man-in-the-middle (MITM) si riferisce a un attacco in cui un cyber avversario si colloca in un colloquio tra un utente e un’applicazione.

In particolare, lo scopo di un MITM è quello di curiosare o mascherarsi come una delle parti, creando l’aspetto ingannevole come se fosse in corso un normale scambio di informazioni.

Gli hacker prendono parte agli attacchi del MITM per rubare informazioni personali come credenziali di accesso e numeri di carte di credito appartenenti ad altre persone.

L’obiettivo di un attacco Man-in-the-middle è di solito un utente di siti Web di e-commerce e siti finanziari in cui è richiesto l’accesso a un account.

Che cos’è Ettercap?


Ettercap consente a un tester di penetrazione professionale di annusare connessioni attive che saranno il nostro obiettivo principale in questo tutorial.

Nota: questo è un tutorial per i test di penetrazione. Tu sei responsabile delle tue azioni.

1. Abilita l’inoltro dei pacchetti in Kali Linux

Per iniziare questo tutorial, avvia Kali Linux e accedi. Ti consigliamo di accedere come utente root.

Informazioni di accesso root dell’account Kali predefinito – Login: root – Password: toor)

Dobbiamo inoltrare ogni pacchetto di rete IPv4 perché il sistema di destinazione dovrà mantenere la connessione di rete mentre il penetration tester sta lanciando un attacco di avvelenamento da ARP.


Aprire una nuova finestra del terminale e digitare quanto segue:

systctl -w net.ipv4.ip_forward = 1

In alternativa, è possibile ottenere l’inoltro di pacchetti digitando nel terminale quanto segue:

echo 1> / proc / sys / net / ipv4 / ip_forward

Se il tuo sistema non riesce a inoltrare i pacchetti necessari, la connessione di rete del bersaglio cesserà, il che alla fine rende inutile l’attacco.

2. Modifica il file di configurazione di Ettercap

Per usare Ettercap, sarà necessario modificare il suo file di configurazione.


Aprire una finestra del terminale e digitare quanto segue:

leafpad /etc/ettercap/etter.conf

Una volta aperta la versione testuale del file di configurazione, presteremo attenzione alle prime due righe nella sezione “[privs]”.


Il valore numerico predefinito per “ec_uid” e “ec_gid” è 65534.


Dobbiamo cambiare 65534 a 0 sia per “ec_uid” che per “ec_gid”

Non è necessario rimuovere la riga “# nessuno è l’impostazione predefinita”. Lascialo così com’è.


Nella barra degli strumenti del leafpad fare clic su “Cerca” e “Trova”. Se preferisci un modo più semplice, il tasto di scelta rapida è Ctrl + F.


Nella finestra di ricerca “Trova”, digitare “iptables” nella casella e procedere facendo clic sul pulsante “Trova” o in alternativa premere Invio sulla tastiera.

Dopo aver fatto ciò, verremo indirizzati alla sezione “Linux”.


Nella sezione “# se usi iptables:”, dobbiamo decommentare “#redir_command_on” e “#redir_command_off”


Procedere uscendo da leafpad. Fai clic su “Sì” quando ti viene chiesto se desideri salvare le modifiche in “etter.conf”.


3. Avviare Ettercap-gtk


Per avviare Ettercap-gtk, aprire una nuova finestra del terminale e digitare quanto segue:

ettercap -G


Ettercap inizierà ad aprirsi. Dopo l’avvio della GUI di Ettercap, vai sulla barra degli strumenti e fai clic su “Sniff” e scegli “Unified sniffing”.

4. Scegliere l’interfaccia di rete appropriata


Nella finestra “Ingresso ettercap”, scegli l’interfaccia appropriata che è attualmente connessa alla tua rete.

Nel nostro tutorial, stiamo usando una connessione ethernet che è cablata e significa che la nostra interfaccia è “eth0”. Se stai utilizzando una connessione WLAN che è wireless, probabilmente sceglierai un’opzione diversa.

Un modo semplice per scoprire il nome della tua interfaccia di rete a cui sei attualmente connesso è digitando nel terminale quanto segue:

ifconfig

5. Inizia la scansione per gli host

Nella finestra di comando in basso nella finestra bianca della GUI di ettercap, possiamo vedere che ettercap ha avviato la modalità di attacco: “Avvio di Unified Sniffing”.

Continua facendo clic su “Host” nella barra degli strumenti e scegli “Cerca host”.

 

Ettercap cercherà momentaneamente gli host sulla rete.

Alla fine saremo accolti con i seguenti messaggi nella finestra di comando della finestra bianca:

“Randomizzazione di # host per la scansione”

“Scansione dell’intera maschera di rete per # host”

 

6. Aggiungi gli indirizzi IP appropriati del sistema del router e del target di Pentest


Vai di nuovo sulla barra degli strumenti, fai clic su “Host” e scegli “Elenco host”.


Nella scheda “Elenco host”, seleziona l’indirizzo IP del router e continua facendo clic sul pulsante “Aggiungi alla destinazione 1”.


Continuare scegliendo l’indirizzo IP appartenente al sistema del target pentest e fare clic sul pulsante “Aggiungi al target 2”.

7. Avviare ARP Poisonin

Vai sulla barra degli strumenti e fai clic su “Mitm”. Scegli “Avvelenamento da arp”.


Apparirà una casella chiamata “MITM Attack: ARP Poisoning”. Assicurati di selezionare la casella accanto a “Sniff connessioni remote” e premi “OK”.

8. Inizia a fiutare Arp Avvelenare il bersaglio e il router


Nella barra degli strumenti, fai clic su “Inizia ad annusare”.

Ettercap inizierà ad avvelenare Arp la vittima e il router. Aspetta un po ‘mentre inizia l’attacco.

Il sistema del target sarà comunque in grado di mantenere una connessione alla rete senza rendersi conto che ci si trova tra la rete e il router.

Se la destinazione alla quale si sta effettuando il test di penetrazione non è in grado di connettersi, è molto probabile che l’inoltro di pacchetti non sia abilitato.


Se vuoi fermare l’attacco Man-in-the-middle, vai semplicemente sulla barra degli strumenti, fai clic su “MITM” e seleziona “Stop mitm attack (s)”.


La rete tornerà al suo stato normale.

Quando hai finito con il tuo attacco MITM, puoi andare avanti e disabilitare l’inoltro di pacchetti digitando nel terminale quanto segue:

systctl -w net.ipv4.ip_forward = 0

Congratulazioni! Hai raggiunto con successo un attacco Man-in-the-middle.

Sunny Hoi è un professionista canadese della sicurezza IT, blogger e alunno dell’Università di Toronto. Come consulente per la sicurezza e analista forense digitale, è attivamente impegnato nella ricerca tecnica e nello sviluppo. Sunny si distingue per la sua raffinatezza tecnica e capacità uniche. È anche caporedattore di 1337pwn.


Per ulteriori informazioni visita il sito: immagi.net

Condividi questo articolo: