EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。ettercap几乎是每个渗透测试人员必备的工具之一。(本文已Kali Linux为例)
方法/步骤
-
确认已安装ettercap,输入:ettercap -v ,若显示版本信息,则说明已安装。
打开图像化界面,输入:ettercap -G 。
-
-
选择嗅探模式:Unified sniffing,设置好要嗅探的网卡(一般都是eth0),点击确定,开始嗅探。
-
列出局域网内的所有存活主机,依次点击Hosts---Hosts list。此处列出了我家局域网内的所有存活主机(不包括虚拟机本身),包括:路由器、Windows宿主机、一台笔记本和一部手机。
-
开启中间人监听模式,将要监听的两端分别添加到Target1、Target2,然后依次点击mitm --- arp posoning ,勾选sniff remote connections(嗅探并保持原连接状态)。
查看被监听主机之间的所有连接信息,依次点击View---Connections。
-
-
利用ettercap+driftnet截获目标主机的图片数据流。打开一个终端,输入:ettercap -i eth0 -Tq -M arp:remote //192.168.0.102// //192.168.0.1//,开启中间人监听;再打开一个终端,输入:driftnet -i eth0 ,显示截获的图片。
-